专栏首页安恒信息Oracle WebLogic安全漏洞预警

Oracle WebLogic安全漏洞预警

安恒信息

网络安全前沿资讯、 应急响应解决方案、技术热点深度解读

漏洞安全公告

2018年4月17日,Oracle官方发布了2018年4月安全更新公告,包含了其家族Fusion Middleware、Financial Services Applications、MySQL等多个产品的安全漏洞公告。

其中有一个Oracle WebLogic Server的远程代码执行漏洞,对应CVE编号:CVE-2018-2628,漏洞公告链接:

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

其他漏洞信息,请参考Oracle历史安全公告列表:

https://www.oracle.com/technetwork/topics/security/alerts-086861.html

漏洞描述

WebLogic远程代码执行漏洞(CVE-2018-2628):WebLogic的核心组件WLS存在反序列化漏洞,恶意攻击者可以通过调用T3协议攻击默认监听的7001端口,并利用ysoserial工具配合,从而实现远程代码执行效果,建议尽快更新补丁和采取相应缓解措施。

分布情况

通过安恒研究院sumap平台针对国内WebLogic服务的T3协议7001端口的资产情况统计,最新查询分布情况如下:

可以看到北京、广东最多。

漏洞影响范围

WebLogic远程代码执行漏洞(CVE-2018-2628)影响以下版本:

OracleWebLogic Server 10.3.6.0版本, 12.1.3.0版本, 12.2.1.2版本, 12.2.1.3版本

建议尽快安装安全更新补丁(可以使用BSU智能更新)或使用连接筛选器临时阻止外部访问7001端口的T3/T3s协议:

连接筛选器:weblogic.security.net.ConnectionFilterImpl

规则示例:

0.0.0.0/0* 7001 deny t3 t3s #拒绝所有访问

允许和拒绝指定IP规则示例:

192.168.1.0/24* 7001 allow t3 t3s#允许指定IP段访问

192.168.2.0/24* 7001 deny t3 t3s #拒绝指定IP段访问

连接筛选器说明参考:

https://docs.oracle.com/cd/E24329_01/web.1211/e24485/con_filtr.htm#SCPRG377

安恒应急响应中心也已提供在线检测平台,方便企业用户检测资产是否存在漏洞情况:

http://0day.websaas.com.cn/

缓解措施

高危:目前网上已有该远程代码执行漏洞的POC,建议尽快升级软件和使用连接筛选器临时拒绝T3/T3s协议。

威胁推演:此漏洞为远程代码执行漏洞,基于全球使用该产品用户的数量和暴露在网上的端口情况,恶意攻击者可能会开发针对该漏洞的自动化攻击程序,实现漏洞利用成功后自动植入后门程序,并进一步释放矿工程序或是DDOS僵尸木马等恶意程序,从而影响到网站服务的正常提供。

安全运营建议:Oracle WebLogic历史上已经报过多个安全漏洞(其中也有反序列化漏洞),建议使用该产品的企业经常关注官方安全更新公告。

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-04-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Drupal CMS安全漏洞预警

    安全漏洞公告 2018年3月28日,Drupal官方发布了Drupal core存在远程代码执行漏洞的公告,对应CVE编号:CVE-2018-7600,漏洞公告...

    安恒信息
  • 微软证实0day漏洞影响IE10和IE9,已发布紧急修复补丁

    上周,微软证实了IE10曝出一个“0-day漏洞”(CNNVD-201402-209)的消息,并且该漏洞已经被用于攻击中。今天,该公司再发安全警...

    安恒信息
  • 2016Q1全球网络安全创新500强,安恒信息排名国内榜首

    美国第三方调研机构的“网络安全创新500强”榜单发布最新,在此次榜单中,依然和此前一样,有4家中国安全公司上榜。他们分别是: DBAPPSecurity(安恒信...

    安恒信息
  • JavaScript重构技巧 — 函数和类

    JavaScript 是一种易于学习的编程语言,编写运行并执行某些操作的程序很容易。然而,要编写一段干净的JavaScript 代码是很困难的。

    前端小智@大迁世界
  • 「走进k8s」Kubernetes1.15.1的DaemonSet 与 StatefulSet 使用(30)

    PS:StatefulSet 主要了解它的使用场景,还有概念和使用方法,名字唯一性的特点。在实际中不可能单独使用他。

    IT故事会
  • DataFrame的真正含义正在被杀死,什么才是真正的DataFrame?

    今天要介绍的 paper 是 Towards Scalable Dataframe Systems,目前还是预印本。作者 Devin Petersohn 来自 ...

    大数据文摘
  • 基于TensorFlow的机器学习速成课程25讲视频全集(04-06讲)

    【导读】前些日子,大家都知道,Google 上线了基于 TensorFlow 的机器学习速成课程,它包含 40 多项练习、25 节课程以及 15 个小时的紧凑学...

    WZEARW
  • 《机器学习》笔记-概率图模型(14)

    如今机器学习和深度学习如此火热,相信很多像我一样的普通程序猿或者还在大学校园中的同学,一定也想参与其中。不管是出于好奇,还是自身充电,跟上潮流,我觉得都值得试...

    机器学习算法工程师
  • 不学无理:谷歌微软亚马逊免费AI课程,哪款适合你?

    但这个最热门的角色并不是一个简单的领域,它至少需要高中数学和一些编程知识,甚至需要重新开始学习。

    新智元
  • IM开源示例——Seatalk

    用户1907613

扫码关注云+社区

领取腾讯云代金券