關(guān)于WebLogic反序列化漏洞的預(yù)警
2018-07-18 15:47:58
2018年7月18日�,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到Oracle官方發(fā)布了7月份的關(guān)鍵補(bǔ)丁更新CPU(Critical Patch Update)��,其中包含一個啟明星辰ADLab安全研究人員發(fā)現(xiàn)并通報給Oracle的高危遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2018-2893)�����。經(jīng)研究發(fā)現(xiàn),JDK固有類中存在可被序列化并且在反序列化時可以調(diào)用RMI的類�,使用該類可構(gòu)造出繞過WebLogic黑名單以及commons.collections限制的payload。
漏洞名稱
WebLogic反序列化漏洞
漏洞編號
CVE-2018-2893
漏洞危害等級
高危
漏洞描述
WebLogic為了阻止惡意反序列化設(shè)置了8個黑名單�,但是經(jīng)啟明星辰ADLab安全研究人員發(fā)現(xiàn),攻擊者可以在未授權(quán)的情況下遠(yuǎn)程執(zhí)行任意代碼���,該漏洞通過JRMP 協(xié)議利用RMI機(jī)制的缺陷達(dá)到執(zhí)行任意反序列化代碼的目的���。攻擊者可以在未授權(quán)的情況下將payload封裝在T3協(xié)議中,通過對T3協(xié)議中的payload進(jìn)行反序列化�����,從而實現(xiàn)對存在漏洞的WebLogic組件進(jìn)行遠(yuǎn)程攻擊�,執(zhí)行任意代碼并可獲取目標(biāo)系統(tǒng)的所有權(quán)限。
影響版本
WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3
以上均為官方支持的版本�。
修復(fù)方案
1. 關(guān)注Oracle官方的補(bǔ)丁更新情況
2. 控制T3協(xié)議的訪問
此漏洞產(chǎn)生于WebLogic的T3服務(wù),因此可通過控制T3協(xié)議的訪問來臨時阻斷針對該漏洞的攻擊���。當(dāng)開放WebLogic控制臺端口(默認(rèn)為7001端口)時��,T3服務(wù)會默認(rèn)開啟�����。
具體操作:
(1)進(jìn)入WebLogic控制臺�,在base_domain的配置頁面中,進(jìn)入“安全”選項卡頁面����,點擊“篩選器”,進(jìn)入連接篩選器配置�。
(2)在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl�����,在連接篩選器規(guī)則中輸入:127.0.0.1 * * allow t3 t3s��,0.0.0.0/0 * * deny t3 t3s(t3和t3s協(xié)議的所有端口只允許本地訪問)�����。
(3)保存后需重新啟動���,規(guī)則方可生效�����。
3. 升級到 jdk-8u20以上的版本
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2018/07/18