Oracle WebLogic安全漏洞预警

Posted 安恒信息

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Oracle WebLogic安全漏洞预警相关的知识,希望对你有一定的参考价值。

安恒信息

网络安全前沿资讯、 应急响应解决方案、技术热点深度解读

关注

Oracle WebLogic安全漏洞预警

  

漏洞安全公告


2018年4月17日,Oracle官方发布了2018年4月安全更新公告,包含了其家族Fusion Middleware、Financial Services Applications、mysql等多个产品的安全漏洞公告。

其中有一个Oracle WebLogic Server的远程代码执行漏洞,对应CVE编号:CVE-2018-2628,漏洞公告链接:

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

其他漏洞信息,请参考Oracle历史安全公告列表:

https://www.oracle.com/technetwork/topics/security/alerts-086861.html


漏洞描述


WebLogic远程代码执行漏洞(CVE-2018-2628):WebLogic的核心组件WLS存在反序列化漏洞,恶意攻击者可以通过调用T3协议攻击默认监听的7001端口,并利用ysoserial工具配合,从而实现远程代码执行效果,建议尽快更新补丁和采取相应缓解措施。

 

分布情况


通过安恒研究院sumap平台针对国内WebLogic服务的T3协议7001端口的资产情况统计,最新查询分布情况如下:



可以看到北京、广东最多。


漏洞影响范围


WebLogic远程代码执行漏洞(CVE-2018-2628)影响以下版本:

OracleWebLogic Server 10.3.6.0版本, 12.1.3.0版本, 12.2.1.2版本, 12.2.1.3版本

 

建议尽快安装安全更新补丁(可以使用BSU智能更新)或使用连接筛选器临时阻止外部访问7001端口的T3/T3s协议:

连接筛选器:weblogic.security.net.ConnectionFilterImpl

 

规则示例:

0.0.0.0/0* 7001 deny t3 t3s   #拒绝所有访问

 

允许和拒绝指定IP规则示例:

192.168.1.0/24* 7001 allow t3 t3s#允许指定IP段访问

192.168.2.0/24* 7001 deny t3 t3s  #拒绝指定IP段访问

 

连接筛选器说明参考:

https://docs.oracle.com/cd/E24329_01/web.1211/e24485/con_filtr.htm#SCPRG377

安恒应急响应中心也已提供在线检测平台,方便企业用户检测资产是否存在漏洞情况:

http://0day.websaas.com.cn/


缓解措施


高危:目前网上已有该远程代码执行漏洞的POC,建议尽快升级软件和使用连接筛选器临时拒绝T3/T3s协议。


威胁推演:此漏洞为远程代码执行漏洞,基于全球使用该产品用户的数量和暴露在网上的端口情况,恶意攻击者可能会开发针对该漏洞的自动化攻击程序,实现漏洞利用成功后自动植入后门程序,并进一步释放矿工程序或是DDOS僵尸木马等恶意程序,从而影响到网站服务的正常提供。


安全运营建议:Oracle WebLogic历史上已经报过多个安全漏洞(其中也有反序列化漏洞),建议使用该产品的企业经常关注官方安全更新公告。


 

上周热门文章TOP3



以上是关于Oracle WebLogic安全漏洞预警的主要内容,如果未能解决你的问题,请参考以下文章

漏洞预警丨Oracle WebLogic XMLDecoder反序列化漏洞

漏洞预警Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞预警通告

[漏洞预警]Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞

未然预警 | WebLogic反序列化漏洞

漏洞预警weblogic反序列化漏洞再度来袭

漏洞预警|关于WebLogic Server WLS核心组件 存在反序列化漏洞