Oracle官方发布了7月份的季度关键补丁更新CPU(Critical Patch Update),修复了WebLogic Server多个远程代码执行漏洞。但是,由于官方补丁存在问题,导致其中一个远程代码执行漏洞未被完全修复。
360安全监测与响应中心将持续关注该漏洞进展,并第一时间为您更新该漏洞信息。
漏洞描述
本次官方补丁中,共修复以下 4 个 CVSS 评分 9.8 的 WebLogic Server 远程代码执行漏洞:
其中,CVE-2018-2893 漏洞即是对今年4月份 Oracle 对 CVE-2018-2628 反序列化命令执行漏洞的修复补丁的绕过。攻击者通过利用此漏洞(CVE-2018-2893),可以在远程且未经授权的情况下在 WebLogic 服务器上执行任意代码。但是,经过 360 A-TEAM 安全研究人员对补丁的分析,本次补丁并未正确对CVE-2018-2893进行修复,依然存在被利用的可能性。
WebLogic Server 中的 RMI 通信使用 T3 协议在WebLogic Server和其他 Java程序(包括客户端及其他 WebLogic Server 实例)间传输数据(序列化的类)。由于WebLogic的T3协议和Web协议共用同一个端口,因此只要能访问WebLogic就可利用T3协议实现payload和目标服务器的通信。
RMI目前使用Java远程消息交换协议JRMP(Java Remote Messaging Protocol)进行通信。JRMP协议是专为Java的远程对象制定的协议。
WebLogic Server 中的 RMI 通信使用 T3 协议在 WebLogic Server 和其他 Java 程序(包括客户端及其他 WebLogic Server 实例)间传输数据(序列化的类)。由于 WebLogic 的 T3 协议和 Web 协议共用同一个端口,因此只要能访问 WebLogic 就可利用 T3 协议实现 payload 和目标服务器的通信。
之前 WebLogic 就已经被多次披露存在反序列化代码执行的问题,360安全监测与响应中心也发布过多次Weblogic反序列化远程代码执行漏洞安全预警通告,攻击者能通过 T3 协议传输精心构造的序列化对象数据使服务器在接收数据反序列化时执行任意代码,但 Oracle 官方对于每次漏洞的修补均是采用黑名单的形式,对能执行危险操作的类进行过滤。因此如果安全研究者后续再发现黑名单之外的能执行危险操作的类,即可绕过补丁,再次造成远程代码执行。
风险等级
360安全监测与响应中心风险评级为:高危
预警等级:蓝色预警(一般网络安全预警)
影响范围
WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3
处置建议
修复方法第一步
使用Oracle官方安全补丁进行更新修复:
修复方法第二步
在第一步的基础上,禁用 t3/t3s 协议。
1.建议临时使用防火墙限制从不可信主机到被防护服务器7001端口的t3和t3s协议。
2.建议按照下图的指示步骤对Weblogic从1-5封闭对 Weblogic t3 以及 t3s 的访问,封掉后,只有本地主机可以利用 t3/t3s 与 Weblogic 进行通信。
注意:
第4步文本框中填写的内容为:
第5步文本框中填写的内容为:
127.0.0.1 * * allow t3 t3s
0.0.0.0/0 * * deny t3 t3s
(每个字段中间有空格)
修改完后请重启 Weblogic 使配置生效。
参考资料
如扫码失败,可将图片保存至手机相册,然后使用微信“扫一扫”扫描关注
领取专属 10元无门槛券
私享最新 技术干货