专栏首页绿盟科技安全情报【漏洞预警】Weblogic wls9-async反序列化远程代码执行漏洞处置手册V2.2

【漏洞预警】Weblogic wls9-async反序列化远程代码执行漏洞处置手册V2.2

预警编号:NS-2019-0015-1-1

2019-04-22

TAG:

Oracle、Weblogic、远程代码执行、wls9-async、wls-wsat、CNVD-C-2019-48814

危害等级:

高,攻击者利用此漏洞可执行任意代码。

版本:

2.2

1

漏洞概述

4月17日,国家信息安全漏洞共享平台(CNVD)公开了Weblogic反序列化远程代码执行漏洞(CNVD-C-2019-48814),此漏洞存在于weblogic自带的wls9_async_response.war组件及wls-wsat组件中,由于在反序列化处理输入信息的过程中存在缺陷,未经授权的攻击者可以发送精心构造的恶意 HTTP 请求,获取服务器权限,实现远程代码执行。

大部分Weblogic Server版本默认包含此此通告的不安全文件,请相关用户引起关注,及时采取防护措施。

参考链接:

http://www.cnvd.org.cn/webinfo/show/4989

SEE MORE →

2影响范围

受影响版本

  • Oracle WebLogic Server 10.*
  • Oracle WebLogic Server 12.1.3

此漏洞影响启用bea_wls9_async_response组件及wls-wsat组件的所有Weblogic版本。

3漏洞排查

3.1 产品检测

绿盟远程安全评估系统(RSAS)及绿盟科技Web应用漏洞扫描系统(WVSS)已经针对该漏洞提供了原理扫描规则支持,如果要安装多个升级包,请按照日期先后顺序安装,规则升级包详情见下表:

升级包版本号

升级包下载链接

RSAS V6 web插件包

V6.0R02F00.1303

http://update.nsfocus.com/update/downloads/id/28030

RSAS V6 web插件包

V6.0R02F00.1304

http://update.nsfocus.com/update/downloads/id/28057

RSAS V6 系统插件包

V6.0R02F01.1402

http://update.nsfocus.com/update/downloads/id/28019

RSAS V6 系统插件包

V6.0R02F01.1403

http://update.nsfocus.com/update/downloads/id/28058

RSAS V5 web插件包

051833

http://update.nsfocus.com/update/downloads/id/28031

RSAS V5 web插件包

051834

http://update.nsfocus.com/update/downloads/id/28059

RSAS V5 系统插件包

051835

http://update.nsfocus.com/update/downloads/id/28060

WVSS V6 web插件包

V6.0R03F00.130

http://update.nsfocus.com/update/downloads/id/28033

WVSS V6 web插件包

V6.0R03F00.131

http://update.nsfocus.com/update/downloads/id/28061

关于RSAS的配置指导,请参考如下链接:

https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg

3.2 绿盟云上检测

绿盟云提供在线的检测入口,企业用户可进入页面检测自有资产是否受此漏洞影响。

  • 手机端访问地址:

https://cloud.nsfocus.com/megi/holes/hole_weblogic_2019_4_17.html

  • PC端访问地址:

https://cloud.nsfocus.com/#/secwarning/secwarning_news?menu_id=urgent

3.3 不安全组件启用状态排查

  • wls9_async_response

wls9_async_response为异步通讯服务组件,用户可通过访问路径/_async/AsyncResponseService,判断该组件是否开启。若返回如下页面,则此组件开启。请相关用户引起关注,及时采取防护措施。

  • wls-wsat

用户可通过访问路径 /wls-wsat/CoordinatorPortType,判断wls-wsat组件是否开启。若返回如下页面,则此组件开启。请相关用户引起关注,及时采取防护措施。

4漏洞防护

4.1 产品防护

4.1.1 客户侧产品防护

针对此漏洞,绿盟科技防护产品已发布临时规则升级包,强烈建议相关用户升级规则,形成安全产品防护能力。在官方正式发布安全通告及修复方案后,将发布正式规则升级包,请相关用户关注。安全防护产品规则版本号如下:

安全防护产品

规则版本号

升级包下载链接

规则编号

IPS

5.6.8.771

http://update.nsfocus.com/update/downloads/id/28016

2446924470

5.6.9.20147

http://update.nsfocus.com/update/downloads/id/28014

5.6.10.20147

http://update.nsfocus.com/update/downloads/id/28015

NF

5.6.7.771

http://update.nsfocus.com/update/downloads/id/28029

6.0.1.771

http://update.nsfocus.com/update/downloads/id/28028

WAF

6.0.7.0.41353

http://update.nsfocus.com/update/downloads/id/28020

27526166

6.0.6.1.41355

http://update.nsfocus.com/update/downloads/id/28024

6.0.5.1.41359

http://update.nsfocus.com/update/downloads/id/28027

6041.41358

http://update.nsfocus.com/update/downloads/id/28025

规则升级的操作步骤详见如下链接:

IPS:https://mp.weixin.qq.com/s/JsRktENQNj1TdZSU62N0Ww

NF:https://mp.weixin.qq.com/s/bggqcm9VqHiPnfV1XoNuDQ

4.1.2 云端防护

除部署在客户侧的安全防护设备外,绿盟科技也提供了两款云端SaaS服务进行保障。

  • 网站安全监测服务

网站安全监测服务已经针对此次安全漏洞对所有监测站点进行了专项检查并通知受影响客户。

  • 网站安全云防护服务(vWAF)

网站安全云防护服务已经第一时间上线此次漏洞专项防护策略,为客户提供了安全防护能力。被防护网站已不受该漏洞影响。

客户可以访问绿盟云http://cloud.nsfocus.com了解更多。服务开通请联系安全运营中心400-818-6868转2。

4.2 临时防护方案

官方暂未发布针对此漏洞的修复补丁,在官方修复之前,可以采取以下方式进行临时防护。

4.2.1 配置URL访问控制策略

部署于公网的用户,可通过访问控制策略禁止对/_async/*及/wls-wsat/*路径的访问。

4.2.2 删除不安全文件

删除wls9_async_response.war、wls-wsat.war文件及相关文件夹,并重启Weblogic服务。具体文件路径如下:

版本号为10.3.*:

\Middleware\wlserver_10.3\server\lib\%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

版本号为12.1.3:

\Middleware\Oracle_Home\oracle_common\modules\%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

注:wls9_async_response.war及wls-wsat.war属于一级应用包,对其进行移除或更名操作可能造成未知的后果,Oracle官方不建议对其进行此类操作。若在直接删除此包的情况下应用出现问题,将无法得到Oracle产品部门的技术支持。请用户进行影响评估,并对此文件进行备份后,再执行此操作。

4.2.3 禁用bea_wls9_async_response及wls-wsat

用户可通过在weblogic启动参数中禁用bea_wls9_async_response的方式,对此漏洞形成临时防护。

在禁用不安全组件前,需请开发人员确认应用系统是否使用了weblogic提供的异步WebService功能,排查方法请附录章节。如果确认没有使用,可以使用如下方式禁用此功能:

1、 以windows系统为例,在启动文件(%DOMAIN_HOME%\bin\startWeblogic.cmd)中加如下参数:

set JAVA_OPTIONS=%JAVA_OPTIONS% -Dweblogic.wsee.skip.async.response=trueset JAVA_OPTIONS=%JAVA_OPTIONS% -Dweblogic.wsee.wstx.wsat.deployed=false

2、对应用程序进行严格测试。

3、测试结果没有问题后,重启Weblogic服务,使参数生效。

附录排查应用是否使用Weblogic异步WebService

请开发人员检查程序代码中是否引用了WebService相关的类:

weblogic.wsee.async.AsyncPreCallContext; weblogic.wsee.async.AsyncCallContextFactory; weblogic.wsee.async.AsyncPostCallContext;weblogic.jws.ServiceClient;weblogic.jws.AsyncResponse; weblogic.jws.AsyncFailure;

END

作者:绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

本文分享自微信公众号 - 绿盟科技安全预警(nsfocus_secwarning)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-04-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【DB笔试面试500】在Oracle中,如何获取IP地址?

    若是获取服务器IP地址,则使用UTL_INADDR.GET_HOST_ADDRESS。若是获取客户端IP地址则使用SYS_CONTEXT('USERENV','...

    小麦苗DBA宝典
  • OCP-052考试题库汇总(63)-CUUG内部解答版

    You have decided to implement the principle of least privilege and separation of...

    用户5892232
  • 【DB笔试面试511】如何在Oracle中写操作系统文件,如写日志?

    可以利用UTL_FILE包,但是,在此之前,要注意设置好UTL_FILE_DIR初始化参数。

    小麦苗DBA宝典
  • 【DB笔试面试498】当DML语句中有一条数据报错时,如何让该DML语句继续执行?

    当一个DML语句运行的时候,如果遇到了错误,那么这条语句会进行回滚,就好像没有执行过。对于一个大的DML语句而言,如果个别数据错误而导致整个语句的回滚,那么会浪...

    小麦苗DBA宝典
  • 【DB笔试面试501】在Oracle中,如何定时删除归档日志文件?

    1、在Oracle用户下,创建归档日志删除文件del_OCPLHR1_arch.sh

    小麦苗DBA宝典
  • 【DB笔试面试509】在Oracle中,如何在存储过程中暂停指定时间?

    DBMS_LOCK包的SLEEP过程。例如:“DBMS_LOCK.SLEEP(5);”表示暂停5秒。

    小麦苗DBA宝典
  • 【DB笔试面试497】Oracle使用哪个包可以生成并传递数据库告警信息?

    DBMS_ALERT包用于生成并传递数据库告警信息。若想使用DBMS_ALERT包,则必须以SYS登陆,为普通用户授予执行权限。DBMS_ALERT能让数据库触...

    小麦苗DBA宝典
  • 【DB笔试面试499】ORA_ROWSCN函数的作用是什么?

    对于每一行数据,ORA_ROWSCN返回每一行最近被修改的大概时间,可用于查询表最后一次被执行DML操作的时间。由于Oracle通过事务提交对行所在数据块来进行...

    小麦苗DBA宝典
  • 【DB笔试面试507】基于数据库的数据复制技术构建灾备方案有哪些?

    基于数据库的数据复制技术大体上可分为两类:数据库自己提供的数据容灾模块和第三方厂商提供的数据库复制技术。以最常见的Oracle数据库为例,Oracle自己的数据...

    小麦苗DBA宝典
  • 【DB笔试面试510】在Oracle中,DBMS_OUTPUT提示缓冲区不够,怎么增加?

    采用命令“DBMS_OUTPUT.ENABLE(20000);”,另外,如果DBMS_OUTPUT的信息不能显示,那么需要设置SET SERVEROUTP...

    小麦苗DBA宝典

扫码关注云+社区

领取腾讯云代金券