三、事件分析
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
3.1漏洞描述
此漏洞产生于Weblogic T3服务,所有开放Weblogic控制台端口的应用,均会默认开启T3服务。据统计,在全球范围内对互联网开放Weblogic服务的资产数量多达35,382台,其中归属中国地区的受影响资产数量为10,562台。具体数据如下图:
在CVE-2018-2628漏洞爆发的时候,攻击者可以利用java.rmi.activation.Activator替代了java.rmi.registry.Registry,从而绕过了resolveProxyClass函数对rmi接口的检测。本次7月份爆发的CVE-2018-2893漏洞,同样是对resolveProxyClass函数进行绕过,导致攻击者可以利用UnicastRef和远端建立tcp连接,获取RMI registry,再将加载的内容
利用readObject解析,从而造成反序列化远程代码执行。CVE-2018-2893漏洞绕过方式是利用StreamMessageImpl对ysoserial工具中的JRMPClient生成的 payloadObject进行封装,由于StreamMessageImpl在进行反序列化时并不会被resolveProxyClass检测,导致绕过的产生,最后成功的进行了反序列化攻击。
下面的图片分别是streamMessageImpl的封装和JRMPClient。
四、影响范围
目前受影响的Oracle WebLogic Server版本:
Oracle WebLogic Server10.3.6.0
Oracle WebLogic Server12.2.1.2
Oracle WebLogic Server12.2.1.3
Oracle WebLogic Server12.1.3.0
五、解决方案
5.1修复建议
Oracle官方已经在今天的关键补丁更新(CPU)中修复了该漏洞。
5.2临时解决方案
对T3服务进行控制
控制T3服务的方法:
在上图这个界面中选择安全-筛选器,在下方出现的界面中找到“连接筛选器”,在里面输入
security.net.ConnectionFilterImpl
然后在连接筛选器规则中输入
127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s
最后保存并重启服务器即可生效。
5.3某公司解决方案
某公司安全云在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。
某公司下一代防火墙可轻松防御此漏洞,建议部署某公司下一代防火墙的用户开启安全防护策略,保持安全规则库更新,可轻松抵御此高危风险。
l 某公司下一代防火墙配置防护步骤:
一 、确认当前设备规则库版本
确认IPS漏洞特征识别库版本,保持规则库为当前最新版本,【系统】——【系统维护】——【系统更新】——【库升级】,如下图:
二 、开启安全功能
针对服务器网段,开启业务防护功能,【策略】——【安全防护策略】——“新增”——“业务防护策略”。开启“漏洞攻击防护”功能,具体参照下图:
六、参考链接
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2893
发表于 2018-7-20 14:29
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级