本帖最后由 某公司_智安全 于 2019-6-18 13:00 编辑
近日,某公司安全团队发现了在野的 Oracle WebLogic 远程命令执行漏洞最新利用方式,该漏洞的利用方式与官方 4 月修复的CVE-2019-2725漏洞利用方式极为相似,此攻击可以绕过官方四月份发布的安全补丁。
该漏洞是由于应用在处理反序列化输入信息时存在缺陷,攻击者可以通过发送精心构造的恶意 HTTP 请求,获得目标服务器的权限,并在未授权的情况下执行远程命令,最终获取服务器的权限。 漏洞名称:Oracle WebLogic 远程命令执行 0day(CVE-2019-2725补丁绕过)漏洞 威胁等级:高危 影响范围:JDK<=1.6 && Oracle WebLogic Server <= 10.3.6.0 漏洞类型:远程命令执行 利用难度:简单
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic是商业市场上主要的Java(J2EE)应用服务器软件(application server)之一,是世界上第一个成功商业化的J2EE应用服务器,具有可扩展性,快速开发,灵活,可靠性等优势。
某公司安全团队经过分析Oracle WebLogic 远程命令执行漏洞最新利用方式发现:
该漏洞的利用方式与官方 4 月修复的CVE-2019-2725漏洞利用方式极为相似,属于CVE-2019-2725漏洞的变形绕过,所以攻击可以绕过官方四月份发布的安全补丁,且该漏洞是由于应用在处理反序列化输入信息时存在缺陷,攻击者可以通过发送精心构造的恶意 HTTP 请求,用于获得目标服务器的权限,并在未授权的情况下执行远程命令,最终获取服务器的权限。针对漏洞的新的利用方式,官方暂时未发布补丁,所以强烈建议受到影响的用户尽快根据临时修补建议漏洞修补,以防服务器处于高风险之中。
某公司安全研究员通过攻击代码复现漏洞,确定该攻击可以绕过WebLogic 官方在四月份的补丁,复现情况如下:
目前据统计,在全球范围内对互联网开放WebLogic的资产数量多达35,894台,其中归属中国地区的受影响资产数量1万以上。
该漏洞是由于支持WebLogic的JDK部分版本存在缺陷导致,目前受影响的JDK版本以及WebLogic版本: JDK<=1.6 且 Oracle WebLogic Server <= 10.3.6.0
由于官方暂未发布补丁,建议通过以下临时解决措施来化解漏洞导致风险:
1.建议客户针对服务器使用情况,删除以下两个文件并重启Weblogic服务:
wls9_async_response.war文件及相关文件夹 wls-wsat.war文件及相关文件夹 文件路径如下: 10.3.*版本: - <font face="微软雅黑" size="3"><code style="max-width: 1000%; display: flex; position: relative;" liberation="" mono",="" menlo,="" courier,="" monospace;="" box-sizing:="" border-box="" !important;"=""><span class="code-snippet_outer" style="max-width: 1000%; box-sizing: border-box !important;">\Middleware\wlserver_10.3\server\lib\</span></code><code style="max-width: 1000%; display: flex; position: relative;" liberation="" mono",="" menlo,="" courier,="" monospace;="" box-sizing:="" border-box="" !important;"=""><span class="code-snippet_outer" style="max-width: 1000%; box-sizing: border-box !important;">%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\</span></code><code style="max-width: 1000%; display: flex; position: relative;" liberation="" mono",="" menlo,="" courier,="" monospace;="" box-sizing:="" border-box="" !important;"=""><span class="code-snippet_outer" style="max-width: 1000%; box-sizing: border-box !important;">%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\</span></code></font>
12.1.3版本:
- <font face="微软雅黑" size="3"><code style="max-width: 1000%; display: flex; position: relative;" liberation="" mono",="" menlo,="" courier,="" monospace;="" box-sizing:="" border-box="" !important;"=""><span class="code-snippet_outer" style="max-width: 1000%; box-sizing: border-box !important;">\Middleware\Oracle_Home\oracle_common\modules\</span></code><code style="max-width: 1000%; display: flex; position: relative;" liberation="" mono",="" menlo,="" courier,="" monospace;="" box-sizing:="" border-box="" !important;"=""><span class="code-snippet_outer" style="max-width: 1000%; box-sizing: border-box !important;">%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\</span></code><code style="max-width: 1000%; display: flex; position: relative;" liberation="" mono",="" menlo,="" courier,="" monospace;="" box-sizing:="" border-box="" !important;"=""><span class="code-snippet_outer" style="max-width: 1000%; box-sizing: border-box !important;">%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\</span></code></font>
2.通过访问限制配置来限制访问/_async/* 路径的请求。 3.及时升级Weblogic中的Java版本
某公司安全云眼在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。
注册地址:http://saas.sangfor.com.cn
某公司云镜在漏洞爆发的第一时间就完成从云端下发本地检测更新,部署云镜的用户只需选择紧急漏洞检测,即可轻松、快速检测此高危风险。
某公司下一代防火墙已在13天前的IPS 20190603规则库版本可防御此漏洞攻击变形,部署某公司下一代防火墙的用户开启IPS防御模块,并确认规则库版本号,未更新此版本的用户尽快更新至 IPS 20190603,则可轻松抵御此高危风险。
某公司云盾已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。
时间轴
2019/04/17 CNVD安全公告中披露了一则WebLogic wls-async 反序列化远程命令执行漏洞(CNVD-C-2019-48814) 2019/04/22 某公司千里目安全实验室分析并复现该漏洞,发布漏洞预警以及产品解决方案 2019/06/03 某公司安全团队发现Oracle WebLogic 远程命令执行 0day漏洞的在野利用方式,复现分析并发布预警以及解决方案 2019/06/15 某公司千里目安全实验室发现捕获到的多种变形攻击有蔓延趋势,发布二次预警 | 
发表于 2019-6-18 13:03
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级