WebLogic再爆高危漏洞,某公司为您提供检测防御解决方案
Oracle官方发布了7月份的关键补丁更新CPU(Critical Patch Update),其中包含一个任意文件上传漏洞,漏洞威胁等级为高危,漏洞对应的CVE编号为CVE-2018-2894。由于漏洞POC已经暴露,某公司紧急预警,提醒广大WebLogic用户做好安全防护措施。
漏洞名称:Weblogic任意文件上传漏洞CVE-2018-2894
威胁等级:高危
威胁类型:任意文件上传
利用难度:容易
漏洞描述
WebLogic是美国Oracle公司出品的一个应用服务器软件(application server),是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。目前Weblogic是商业市场上主要的Java(J2EE)应用服务器软件之一,也是世界上第一个成功商业化的J2EE应用服务器。
漏洞说明
此漏洞产生于Weblogic T3服务,所有开放Weblogic控制台端口的应用,均会默认开启T3服务。
Weblogic 任意文件上传漏洞是通过ws_utc/config.do路径进行配置的过程中,在配置界面会存在一个上传点,首先更改当前的工作路径,使得路径无需权限即可访问。接下来利用上传点上传shell,并在对应路径进行访问,最终能够获得服务器 shell。
影响范围
据统计,在全球范围内对互联网开放Weblogic服务的资产数量多达35,382台,其中归属中国地区的受影响资产数量为10,562台。
其中,受漏洞影响版本为:
Oracle WebLogic Server10.3.6.0,
Oracle WebLogic Server12.2.1.2,
Oracle WebLogic Server12.2.1.3,
Oracle WebLogic Server12.1.3.0。
漏洞复现
触发此漏洞的前提是:
1、使用了Oracle WebLogic Server10.3.6.0,
2、Oracle WebLogic Server12.2.1.2,
3、Oracle WebLogic Server12.2.1.3,
4、Oracle WebLogic Server12.1.3.0中的任何一个版本的Weblogic。
5、对外开放了Weblogic端口。
6、存在/ws_utc/config.do路径。
基于前提条件,信服君通过在本地搭建WebLogic环境,并选取POC进行漏洞复现,发现确实有办法在上传点上传任意文件:
通过上传点上传了命名为pwn6.jsp的shell文件
并最终成功获得服务器shell:
成功获取服务器shell
解决方案
1、修复建议:
Oracle官方已经在7月份的关键补丁更新(CPU)中修复了该漏洞(相关链接:http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html),请受影响用户及时前往下载:通过正版软件的许可账号登陆https://support.oracle.com后,可以下载最新补丁。
2、漏洞检测:
某公司安全云在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。注册地址:http://saas.sangfor.com.cn
3、漏洞防御:
某公司下一代防火墙具备防御此漏洞的能力,建议部署某公司下一代防火墙的用户开启安全防护策略,保持安全规则库更新,即可轻松抵御此高危风险。防御规则:WAF全体webshell规则。
l 某公司下一代防火墙配置防护步骤:
一 、确认当前设备规则库版本
确认WEB应用防护库版本,2017年10月及以后的版本均可。【系统】——【系统维护】——【系统更新】——【库升级】,如下图:
二 、开启安全功能
1、 针对服务器网段,开启业务防护功能,【策略】——【安全防护策略】——“新增”——“业务防护策略”。开启“WEB应用防护”功能,具体参照下图:
发表于 2018-7-23 16:19
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级