WebLogic反序列化漏洞(CVE-2018-2628)安全处置建议

华盟学院山东省第二期线下学习计划

预警编号:NS-2018-0015

TAG

Oracle WebLogic、CVE-2018-2628、反序列化

关注级别

红,此漏洞利用简单,可直接获取系统控制权限,存在被攻击者挖矿利用的可能性

版本

1.0

 

 

一、漏洞概述

 

当地时间4月17日,北京时间4月18日凌晨,Oracle官方发布了4月份的关键补丁更新CPU(Critical Patch Update),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),通过该漏洞,攻击者可以在未授权的情况下远程执行代码。

相关链接:

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

 

 

二、漏洞影响范围

 

受影响的版本

  •  Weblogic 10.3.6.0
  •  Weblogic 12.1.3.0
  •  Weblogic 12.2.1.2
  •  Weblogic 12.2.1.3

以上均为官方支持的版本

  

  受影响的区域

根据NTI统计结果,在全球范围内对互联网开放Weblogic服务的资产数量多达19,229,其中归属中国地区的受影响资产数量为1,787。

由于此漏洞产生于Weblogic T3服务,当开放Weblogic控制台端口(默认为7001端口)时,T3服务会默认开启,因此会造成较大影响,结合曾经爆出的Weblogic WLS 组件漏洞(CVE-2017-10271),不排除会有攻击者利用挖矿的可能,因此,建议受影响企业用户尽快部署防护措施。

 

 

三、漏洞影响排查

参考文章:

https://0x9.me/kYGC4

 

 

四、漏洞防护

官方升级

Oracle官方已经在今天的关键补丁更新(CPU)中修复了该漏洞,强烈建议受影响的用户尽快升级更新进行防护。

注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。

http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

 

 

临时防护方案

可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。WebLogic Server 提供了名为 weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器,此连接筛选器接受所有传入连接,可通过此连接筛选器配置规则,对t3及t3s协议进行访问控制,详细操作步骤如下:

1. 进入Weblogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。

 2. 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:* * 7001 deny t3 t3s

3. 保存后规则即可生效,无需重新启动。

连接筛选器规则格式如:target localAddress localPort action protocols,其中:

target 指定一个或多个要筛选的服务器。

localAddress 可定义服务器的主机地址。(如果指定为一个星号 (*),则返回的匹配结果将是所有本地 IP 地址。)

localPort 定义服务器正在监听的端口。(如果指定了星号,则匹配返回的结果将是服务器上所有可用的端口)。

action 指定要执行的操作。(值必须为“allow”或“deny”。)

protocols 是要进行匹配的协议名列表。(必须指定下列其中一个协议:http、https、t3、t3s、giop、giops、dcom 或 ftp。) 如果未定义协议,则所有协议都将与一个规则匹配。

www.idc126.com

文章作者:绿盟,安全服务部

本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
2

发表评论