【安全预警】Weblogic反序列化漏洞 CVE-2018-2893
  

SANGFOR_智安全 5146

{{ttag.title}}
Weblogic反序列化漏洞CVE-2018-2893安全预警
一、安全预警
近期,Oracle官方发布了7月份的关键补丁更新CPU(Critical Patch Update),其中包含一个远程代码执行漏洞,漏洞威胁等级为高危,漏洞对应的CVE编号为CVE-2018-2893。
某公司安全团队第一时间响应并发布预警信息,并将持续跟踪事态进展。
某公司安全团队风险评级:

二、事件概要
事件名称
Weblogic反序列化漏洞CVE-2018-2893
威胁等级
高危
影响范围
Oracle WebLogic Server10.3.6.0;
Oracle WebLogic Server12.2.1.2;
Oracle WebLogic Server12.2.1.3;
Oracle WebLogic Server12.1.3.0;
威胁类型
远程代码执行
利用难度
容易



三、事件分析
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

3.1漏洞描述
此漏洞产生于Weblogic T3服务,所有开放Weblogic控制台端口的应用,均会默认开启T3服务。据统计,在全球范围内对互联网开放Weblogic服务的资产数量多达35,382台,其中归属中国地区的受影响资产数量为10,562台。具体数据如下图:
图片21.png
在CVE-2018-2628漏洞爆发的时候,攻击者可以利用java.rmi.activation.Activator替代了java.rmi.registry.Registry,从而绕过了resolveProxyClass函数对rmi接口的检测。本次7月份爆发的CVE-2018-2893漏洞,同样是对resolveProxyClass函数进行绕过,导致攻击者可以利用UnicastRef和远端建立tcp连接,获取RMI registry,再将加载的内容
利用readObject解析,从而造成反序列化远程代码执行。CVE-2018-2893漏洞绕过方式是利用StreamMessageImpl对ysoserial工具中的JRMPClient生成的 payloadObject进行封装,由于StreamMessageImpl在进行反序列化时并不会被resolveProxyClass检测,导致绕过的产生,最后成功的进行了反序列化攻击。
下面的图片分别是streamMessageImpl的封装和JRMPClient。
图片22.png

图片23.png
四、影响范围
目前受影响的Oracle WebLogic Server版本:
Oracle WebLogic Server10.3.6.0
Oracle WebLogic Server12.2.1.2
Oracle WebLogic Server12.2.1.3
Oracle WebLogic Server12.1.3.0

五、解决方案
5.1修复建议
Oracle官方已经在今天的关键补丁更新(CPU)中修复了该漏洞。
请受影响用户及时前往下载,Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。

5.2临时解决方案
对T3服务进行控制
控制T3服务的方法:
图片24.png
在上图这个界面中选择安全-筛选器,在下方出现的界面中找到“连接筛选器”,在里面输入
security.net.ConnectionFilterImpl
然后在连接筛选器规则中输入
127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s
最后保存并重启服务器即可生效。

5.3某公司解决方案
某公司安全云在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。
某公司下一代防火墙可轻松防御此漏洞,建议部署某公司下一代防火墙的用户开启安全防护策略,保持安全规则库更新,可轻松抵御此高危风险。
l 某公司下一代防火墙配置防护步骤:

一 、确认当前设备规则库版本
确认IPS漏洞特征识别库版本,保持规则库为当前最新版本,【系统】——【系统维护】——【系统更新】——【库升级】,如下图:

图片25.png



二 、开启安全功能
针对服务器网段,开启业务防护功能,【策略】——【安全防护策略】——“新增”——“业务防护策略”。开启“漏洞攻击防护”功能,具体参照下图:
    图片26.png

图片27.png
六、参考链接
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2893

点击附件了解详情》》 Weblogic反序列化漏洞CVE-2018-2893 解决方案.doc (837.46 KB, 下载次数: 62)

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

Nevermore 发表于 2018-7-21 09:19
  
顶一个,学习了
vito 发表于 2018-7-21 21:28
  
厉害= 学习了
可以得很 发表于 2018-7-25 09:45
  
666666666666
Nevermore 发表于 2018-7-27 16:32
  
围观学习
帅帅哥 发表于 2019-1-16 08:29
  
感谢分享
新手589624 发表于 2020-6-1 08:33
  
重视安全预警
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
每周精选
技术笔记
干货满满
技术咨询
新版本体验
信服课堂视频
标准化排查
产品连连看
安装部署配置
功能体验
自助服务平台操作指引
秒懂零信任
GIF动图学习
2023技术争霸赛专题
通用技术
社区帮助指南
技术晨报
安全攻防
每日一记
玩转零信任
天逸直播
华北区交付直播
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

SANGFOR...

本周分享达人