關(guān)于WebLogic Server WLS核心組件存在反序列化漏洞的安全公告
發(fā)布時(shí)間:2018-04-232018年4月18日,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了WebLogic Server WLS核心組件反序列化漏洞(CNVD-2018-07811,對(duì)應(yīng)CVE-2018-2628)。攻擊者利用該漏洞,可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行代碼。漏洞驗(yàn)證代碼已被公開(kāi),近期被不法分子利用進(jìn)行大規(guī)模攻擊的可能性較大,廠商已發(fā)布補(bǔ)丁進(jìn)行修復(fù)。
一、漏洞情況分析
WebLogic Server是美國(guó)甲骨文(Oracle)公司開(kāi)發(fā)的一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)中間件,它提供了一個(gè)現(xiàn)代輕型開(kāi)發(fā)平臺(tái),支持應(yīng)用從開(kāi)發(fā)到生產(chǎn)的整個(gè)生命周期管理,并簡(jiǎn)化了應(yīng)用的部署和管理。在WebLogic Server 的 RMI(遠(yuǎn)程方法調(diào)用)通信中,T3協(xié)議(豐富套接字)用來(lái)在 WebLogic Server 和其他 Java 程序(包括客戶端及其他 WebLogic Server 實(shí)例)間傳輸數(shù)據(jù),該協(xié)議在開(kāi)放WebLogic控制臺(tái)端口的應(yīng)用上默認(rèn)開(kāi)啟。
2018年4月18日凌晨,Oracle官方發(fā)布了4月份關(guān)鍵補(bǔ)丁更新CPU(Critical Patch Update),其中包含該Weblogic反序列化高危漏洞。利用該漏洞,攻擊者可以在未經(jīng)授權(quán)的情況下,遠(yuǎn)程發(fā)送攻擊數(shù)據(jù),通過(guò)T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作,反序列過(guò)程中會(huì)遠(yuǎn)程加載RMI registry,加載回來(lái)的registry又會(huì)被反序列化執(zhí)行,最終實(shí)現(xiàn)了遠(yuǎn)程代碼的執(zhí)行。
CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高?!薄?nbsp;
二、漏洞影響范圍
根據(jù)官方公告情況,該漏洞的影響版本如下:
WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3
CNVD秘書(shū)處組織對(duì)WebLogic服務(wù)在全球范圍內(nèi)的分布情況進(jìn)行了統(tǒng)計(jì),結(jié)果顯示該服務(wù)的全球規(guī)模約為6.9萬(wàn),其中我國(guó)境內(nèi)的用戶量約為1.2萬(wàn)。隨機(jī)抽樣檢測(cè)結(jié)果顯示,大約為6%的WebLogic服務(wù)受此漏洞影響。
三、漏洞處置建議
1、臨時(shí)修復(fù)建議:通過(guò)設(shè)置weblogic.security.net.ConnectionFilterImpl默認(rèn)連接篩選器,對(duì)T3/T3s協(xié)議的訪問(wèn)權(quán)限進(jìn)行配置,阻斷漏洞利用途徑。
2、美國(guó)甲骨文公司已發(fā)布了修復(fù)補(bǔ)丁,建議及時(shí)更新至最新版本:http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html。
附:參考鏈接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-07811
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
http://toutiao.secjia.com/cve-2018-2628
感謝CNVD技術(shù)組成員單位——綠盟科技公司為本公告提供技術(shù)支持。(來(lái)源:CNCERT)