欢迎光临
我们一直在努力
"

【漏洞预警】WebLogic T3 反序列化绕过漏洞 & 附检测POC

漏洞描述

Oracle FusionMiddleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。

Oracle官方发布了4月份的关键补丁更新CPU(Critical PatchUpdate),其中包含一个高危的Weblogic反序列化漏洞CVE-2018-2628,该漏洞修补不善导致被绕过。Oracle 官方发布的7月份补丁中修复了该漏洞,分配了漏洞编号CVE-2018-2893。

通过该漏洞,攻击者可以在未授权的情况下远程执行代码。攻击者只需要发送精心构造的T3协议数据,就可以获取目标服务器的权限。攻击者可利用该漏洞控制组件,影响数据的可用性、保密性和完整性。

漏洞版本

Oracle WebLogic Server 10.3.6.0

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 12.2.1.2

Oracle WebLogic Server 12.2.1.3

威胁等级

漏洞详情

知识点

  • T3协议

WebLogic Server 中的 RMI 通信使用 T3 协议在WebLogic Server和其他 Java程序(包括客户端及其他 WebLogic Server 实例)间传输数据(序列化的类)。由于WebLogic的T3协议和Web协议共用同一个端口,因此只要能访问WebLogic就可利用T3协议实现payload和目标服务器的通信。

  • JRMP协议

RMI目前使用Java远程消息交换协议JRMP(Java Remote Messaging Protocol)进行通信。JRMP协议是专为Java的远程对象制定的协议。

检测Poc

cve-2018-2893-poc

解决方案

  1. Oracle 官方已经在 7 月份中的补丁中修复了该漏洞,建议受影响的用户尽快升级更新进行防护。

    http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

  2. 升级到 jdk-8u20以上的版本
  3. 控制T3协议访问

    此漏洞产生于WebLogic的T3服务,因此可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。当开放WebLogic控制台端口(默认为7001端口)时,T3服务会默认开启。

    具体操作:

    (1)进入WebLogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。

    (2)在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s协议的所有端口只允许本地访问)。

    (3)保存后需重新启动,规则方可生效。

转载请注明: 转载自Legend‘s BLog

本文链接地址: 【漏洞预警】WebLogic T3 反序列化绕过漏洞 & 附检测POC



未经允许不得转载:Legend‘s BLog » 【漏洞预警】WebLogic T3 反序列化绕过漏洞 & 附检测POC

分享到:更多 ()

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

无觅相关文章插件,快速提升流量