【漏洞预警】Weblogic反序列化漏洞CVE-2018-2893
Oracle官方发布了7月份的关键补丁更新CPU(Critical Patch Update),其中包含一个远程代码执行漏洞,漏洞威胁等级为高危,漏洞对应的CVE编号为CVE-2018-2893。 千里百科 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。Weblogic是商业市场上主要的Java(J2EE)应用服务器软件(application server)之一,是世界上第一个成功商业化的J2EE应用服务器,具有可扩展性,快速开发,灵活,可靠性等优势。
漏洞描述 此漏洞产生于Weblogic T3服务,所有开放Weblogic控制台端口的应用,均会默认开启T3服务。据统计,在全球范围内对互联网开放Weblogic服务的资产数量多达35,382台,其中归属中国地区的受影响资产数量为10,562台。具体数据如下图:
在CVE-2018-2628漏洞爆发的时候,攻击者可以利用java.rmi.activation.Activator替代了java.rmi.registry.Registry,从而绕过了resolveProxyClass函数对rmi接口的检测。本次7月份爆发的CVE-2018-2893漏洞,同样是对resolveProxyClass函数进行绕过,导致攻击者可以利用UnicastRef和远端建立tcp连接,获取RMI registry,再将加载的内容利用readObject解析,从而造成反序列化远程代码执行。CVE-2018-2893漏洞绕过方式是利用StreamMessageImpl对ysoserial工具中的JRMPClient生成的 payloadObject进行封装,由于StreamMessageImpl在进行反序列化时并不会被resolveProxyClass检测,导致绕过的产生,最后成功的进行了反序列化攻击。
下面的图片分别是streamMessageImpl的封装和JRMPClient。
影响版本 Oracle WebLogic Server10.3.6.0, Oracle WebLogic Server12.2.1.2, Oracle WebLogic Server12.2.1.3, Oracle WebLogic Server12.1.3.0。
修复建议 临时解决方案 对T3服务进行控制 控制T3服务的方法:
在上图这个界面中选择安全-筛选器,在下方出现的界面中找到“连接筛选器”,在里面输入 security.net.ConnectionFilterImpl 然后在连接筛选器规则中输入 127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s 最后保存并重启服务器即可生效。
某公司解决方案 某公司安全云在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。 注册地址: http://saas.sangfor.com.cn 某公司下一代防火墙可轻松防御此漏洞,建议部署某公司下一代防火墙的用户开启IPS模块,可轻松抵御此高危风险。 | 
发表于 2018-7-19 14:37
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级 
