漏洞通告WebLogic XML外部实体注入漏洞

Posted 深信服千里目安全实验室

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漏洞通告WebLogic XML外部实体注入漏洞相关的知识,希望对你有一定的参考价值。

近日,深信服安全团队监控到WebLogic XML外部实体注入漏洞的消息,受害者服务器在开启T3或IIOP协议和目标可出网的条件下,攻击者通过构造恶意数据发起XML外部实体注入攻击,服务器接收恶意数据会进行反序列化操作,触发loadxml,加载解析恶意dtd文件,造成危害

漏洞名称WebLogic XML外部实体注入漏洞

威胁等级 : 高危

影响范围 WebLogic Server 10.3.6.0.0

WebLogic Server 12.1.3.0.0

WebLogic Server 12.2.1.3.0

WebLogic Server 12.2.1.4.0

WebLogic Server 14.1.1.0.0

漏洞类型 XXE

利用难度 : 未知


漏洞分析


1 WebLogic介绍

WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。


将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic是商业市场上主要的Java(J2EE)应用服务器软件(application server)之一,是世界上第一个成功商业化的J2EE应用服务器,具有可扩展性,快速开发,灵活,可靠性等优势。


1 漏洞描述

近日,深信服安全团队监控到WebLogic XML外部实体注入漏洞的消息,受害者服务器在开启T3或IIOP协议和目标可出网的条件下,攻击者通过构造恶意数据发起XML外部实体注入攻击,服务器接收恶意数据会进行反序列化操作,触发loadxml,加载解析恶意dtd文件,造成危害。


影响范围


目前受影响的WebLogic版本:

WebLogic Server 10.3.6.0.0

WebLogic Server 12.1.3.0.0

WebLogic Server 12.2.1.3.0

WebLogic Server 12.2.1.4.0

WebLogic Server 14.1.1.0.0


解决方案


1 官方修复方案

当前官方暂未发布受影响版本对应补丁,建议受影响的客户持续关注官方最新公告:

https://www.oracle.com/java/weblogic/


2 临时修复方案

1.可通过关闭IIOP协议对此漏洞进行临时防御。操作如下:

在Weblogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启Weblogic项目,使配置生效。

2.对T3服务进行控制

控制T3服务的方法:

【漏洞通告】WebLogic XML外部实体注入漏洞

在上图这个WebLogic界面中选择安全-筛选器,在下方出现的界面中找到“连接筛选器”,在里面输入

security.net.ConnectionFilterImpl

然后在连接筛选器规则中输入

127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s

最后保存并重启服务器即可生效。


3 深信服解决方案

深信服下一代防火墙】可轻松防御此漏洞,建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。

深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。

深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。

深信服安全云眼】在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。

深信服云镜】在漏洞爆发第一时间即完成检测能力的发布,部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响,避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力,可以连接云端升级的用户可自动获得漏洞检测能力。


时间轴


2021/1/4  深信服监测到WebLogic XML外部实体注入漏洞相关信息

2021/1/4  深信服千里目安全实验室发布漏洞通告



点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。


深信服千里目安全实验室

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。


以上是关于漏洞通告WebLogic XML外部实体注入漏洞的主要内容,如果未能解决你的问题,请参考以下文章

漏洞通告WebSphere XML外部实体注入(XXE)漏洞(CVE-2020-4643)处置手册

漏洞情报|Nexus Repository Manager 3 XML外部实体注入漏洞风险通告(CVE-2020-29436)

漏洞预警 | WebSphere XML外部实体注入漏洞

[高危]WebSphere Application Server XML外部实体注入漏洞

09.27安全帮®每日资讯:思科互联网操作系统发现执行任意代码高危漏洞;WebSphere XML外部实体注入(XXE)漏洞

浅谈XML实体注入漏洞