快捷搜索:  网络  后门  CVE  渗透  扫描  木马  黑客  as

漏洞预警 | WebLogic WLS核心组件反序列化漏洞(CVE-2018-2893)

Oracle FusionMiddleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业以及云环境的营业创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境以及传统环境的应用服务器组件。

Oracle官方发布了4月份的症结补丁更新CPU(Critical PatchUpdate),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),该漏洞修补不善导致被绕过。Oracle 官方发布的7月份补丁中修复了该漏洞,调配了漏洞编号CVE-2018-2893。

通过该漏洞,攻击者可以在未授权的情形下遥程执行代码。攻击者只要要发送精心组织的T3协定数据,就可以获取目标服务器的权限。攻击者可行使该漏洞控制组件,影响数据的可用性、失密性以及完备性。

影响范围

Oracle WebLogic Server 10.3.6.0

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 12.2.1.2

Oracle WebLogic Server 12.2.1.3

以上均为官方支持的版本。

基础知识

1.T3协定

WebLogic Server 中的 RMI 通讯使用 T3 协定在WebLogic Server以及其他 Java程序(包括客户端及其他 WebLogic Server 实例)间传输数据(序列化的类)。由于WebLogic的T3协定以及Web协定共用同一个端口,因此只需能走访WebLogic就可行使T3协定完成payload以及目标服务器的通讯。

2.JRMP协定

RMI目前使用Java遥程新闻交换协定JRMP(Java Remote Messaging Protocol)进行通讯。JRMP协定是专为Java的遥程对象订定的协定。

漏洞阐发

1.在遥程服务器中开启 JRMPListener,JRMPListener 会在监听指定端口,守候JRMPClient 来连接并返归恶意 Payload。 

image.png

2.使用 SreamMessageImpl 类将 JRMPClient 封装,生成 Payload。 

image.png

3.使用 T3 协定脚本将 Payload 发送到目标服务器。 

image.png

4.可以看到服务器已成功弹出计算器。

image.png

修复方案

1.Oracle 官方已经在 7 月份中的补丁中修复了该漏洞,建议受影响的用户绝快升级更新。

2.根据营业需求选择禁用T3协定。

此漏洞产生于WebLogic的T3服务,因此可通过控制T3协定的走访来暂且阻断针对该漏洞的攻击。当开放WebLogic控制大驾口(默认为7001端口)时,T3服务会默认开启。

详细操作

(1)进入WebLogic控制台,在base_domain的设置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器设置。

(2)在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:127.0.0.1 * * allow t3 t3s,无线黑客,0.0.0.0/0 * * deny t3 t3s(t3以及t3s协定的所有端口只允许内陆走访)。

(3)保存后需重新启动,规则方可见效。

参考:

    http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

您可能还会对下面的文章感兴趣: