漏洞预警 WebLogic WLS核心组件反序列化漏洞(CVE-2018-2893)

x
用微信扫描二维码
分享至好友和朋友圈

  Oracle FusionMiddleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。

  Oracle官方发布了4月份的关键补丁更新CPU(Critical PatchUpdate),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),该漏洞修补不善导致被绕过。Oracle 官方发布的7月份补丁中修复了该漏洞,分配了漏洞编号CVE-2018-2893。

  通过该漏洞,攻击者可以在未授权的情况下远程执行代码。攻击者只需要发送精心构造的T3协议数据,就可以获取目标服务器的权限。攻击者可利用该漏洞控制组件,影响数据的可用性、保密性和完整性。

  影响范围

  Oracle WebLogic Server 10.3.6.0

  Oracle WebLogic Server 12.1.3.0

  Oracle WebLogic Server 12.2.1.2

  Oracle WebLogic Server 12.2.1.3

  以上均为官方支持的版本。

  基础知识 1.T3协议

  WebLogic Server 中的 RMI 通信使用 T3 协议在WebLogic Server和其他 Java程序(包括客户端及其他 WebLogic Server 实例)间传输数据(序列化的类)。由于WebLogic的T3协议和Web协议共用同一个端口,因此只要能访问WebLogic就可利用T3协议实现payload和目标服务器的通信。

  2.JRMP协议

  RMI目前使用Java远程消息交换协议JRMP(Java Remote Messaging Protocol)进行通信。JRMP协议是专为Java的远程对象制定的协议。

  漏洞分析

  1.在远程服务器中开启 JRMPListener,JRMPListener 会在监听指定端口,等待JRMPClient 来连接并返回恶意 Payload。

  

  

  2.使用 SreamMessageImpl 类将 JRMPClient 封装,生成 Payload。

  

  

  3.使用 T3 协议脚本将 Payload 发送到目标服务器。

  

  

  4.可以看到服务器已成功弹出计算器。

  

  
修复方案

  1.Oracle 官方已经在 7 月份中的补丁中修复了该漏洞,建议受影响的用户尽快升级更新。

  2.根据业务需求选择禁用T3协议。

  此漏洞产生于WebLogic的T3服务,因此可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。当开放WebLogic控制台端口(默认为7001端口)时,T3服务会默认开启。

  具体操作

  (1)进入WebLogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。

  (2)在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s协议的所有端口只允许本地访问)。

  (3)保存后需重新启动,规则方可生效。

  参考:

   http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

特别声明:本文为网易自媒体平台“网易号”作者上传并发布,仅代表该作者观点。网易仅提供信息发布平台。

跟贴 跟贴 0 参与 0
© 1997-2019 网易公司版权所有 About NetEase | 公司简介 | 联系方法 | 招聘信息 | 客户服务 | 隐私政策 | 广告服务 | 网站地图 | 意见反馈 | 不良信息举报

FreeBuf

互联网安全新媒体

头像

FreeBuf

互联网安全新媒体

5482

篇文章

14158

人关注

列表加载中...
请登录后再关注
x

用户登录

网易通行证/邮箱用户可以直接登录:
忘记密码