【漏洞预警】Weblogic wls9-async反序列化远程代码执行漏洞处置手册V2.2

预警编号:NS-2019-0015-1-1

2019-04-22

1

漏洞概述

4月17日，国家信息安全漏洞共享平台（CNVD）公开了Weblogic反序列化远程代码执行漏洞（CNVD-C-2019-48814），此漏洞存在于weblogic自带的wls9_async_response.war组件及wls-wsat组件中，由于在反序列化处理输入信息的过程中存在缺陷，未经授权的攻击者可以发送精心构造的恶意 HTTP 请求，获取服务器权限，实现远程代码执行。

大部分Weblogic Server版本默认包含此此通告的不安全文件，请相关用户引起关注，及时采取防护措施。

参考链接：

http://www.cnvd.org.cn/webinfo/show/4989

SEE MORE →

2影响范围

受影响版本

• Oracle WebLogic Server 10.*
• Oracle WebLogic Server 12.1.3

此漏洞影响启用bea_wls9_async_response组件及wls-wsat组件的所有Weblogic版本。

3漏洞排查

3.1 产品检测

绿盟远程安全评估系统（RSAS）及绿盟科技Web应用漏洞扫描系统（WVSS）已经针对该漏洞提供了原理扫描规则支持，如果要安装多个升级包，请按照日期先后顺序安装，规则升级包详情见下表：

关于RSAS的配置指导，请参考如下链接：

https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg

3.2 绿盟云上检测

绿盟云提供在线的检测入口，企业用户可进入页面检测自有资产是否受此漏洞影响。

• 手机端访问地址：

https://cloud.nsfocus.com/megi/holes/hole_weblogic_2019_4_17.html

• PC端访问地址：

https://cloud.nsfocus.com/#/secwarning/secwarning_news?menu_id=urgent

3.3 不安全组件启用状态排查

• wls9_async_response

wls9_async_response为异步通讯服务组件，用户可通过访问路径/_async/AsyncResponseService，判断该组件是否开启。若返回如下页面，则此组件开启。请相关用户引起关注，及时采取防护措施。

• wls-wsat

用户可通过访问路径 /wls-wsat/CoordinatorPortType，判断wls-wsat组件是否开启。若返回如下页面，则此组件开启。请相关用户引起关注，及时采取防护措施。

4漏洞防护

4.1 产品防护

4.1.1 客户侧产品防护

针对此漏洞，绿盟科技防护产品已发布临时规则升级包，强烈建议相关用户升级规则，形成安全产品防护能力。在官方正式发布安全通告及修复方案后，将发布正式规则升级包，请相关用户关注。安全防护产品规则版本号如下：

规则升级的操作步骤详见如下链接：

IPS：https://mp.weixin.qq.com/s/JsRktENQNj1TdZSU62N0Ww

NF：https://mp.weixin.qq.com/s/bggqcm9VqHiPnfV1XoNuDQ

4.1.2 云端防护

除部署在客户侧的安全防护设备外，绿盟科技也提供了两款云端SaaS服务进行保障。

• 网站安全监测服务

网站安全监测服务已经针对此次安全漏洞对所有监测站点进行了专项检查并通知受影响客户。

• 网站安全云防护服务(vWAF)

网站安全云防护服务已经第一时间上线此次漏洞专项防护策略，为客户提供了安全防护能力。被防护网站已不受该漏洞影响。

客户可以访问绿盟云http://cloud.nsfocus.com了解更多。服务开通请联系安全运营中心400-818-6868转2。

4.2 临时防护方案

官方暂未发布针对此漏洞的修复补丁，在官方修复之前，可以采取以下方式进行临时防护。

4.2.1 配置URL访问控制策略

部署于公网的用户，可通过访问控制策略禁止对/_async/*及/wls-wsat/*路径的访问。

4.2.2 删除不安全文件

删除wls9_async_response.war、wls-wsat.war文件及相关文件夹，并重启Weblogic服务。具体文件路径如下：

版本号为10.3.*：

版本号为12.1.3：

注：wls9_async_response.war及wls-wsat.war属于一级应用包，对其进行移除或更名操作可能造成未知的后果，Oracle官方不建议对其进行此类操作。若在直接删除此包的情况下应用出现问题，将无法得到Oracle产品部门的技术支持。请用户进行影响评估，并对此文件进行备份后，再执行此操作。

4.2.3 禁用bea_wls9_async_response及wls-wsat

用户可通过在weblogic启动参数中禁用bea_wls9_async_response的方式，对此漏洞形成临时防护。

在禁用不安全组件前，需请开发人员确认应用系统是否使用了weblogic提供的异步WebService功能，排查方法请附录章节。如果确认没有使用，可以使用如下方式禁用此功能：

1、 以windows系统为例，在启动文件（%DOMAIN_HOME%\bin\startWeblogic.cmd）中加如下参数：

2、对应用程序进行严格测试。

3、测试结果没有问题后，重启Weblogic服务，使参数生效。

附录排查应用是否使用Weblogic异步WebService

请开发人员检查程序代码中是否引用了WebService相关的类：

END

作者：绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。