WebLogic CVE-2018-2628反序列化远程代码执行漏洞

1.1.1漏洞描述

Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。

Oracle官方在2018年4月18日发布了4月关键补丁更新,其中包含了Oracle WebLogic Server的一个高危漏洞(CVE-2018-2628)。

由于此漏洞产生于Weblogic T3服务,当开放Weblogic控制台端口(默认为7001端口)时,T3服务会默认开启,因此会造成较大影响,结合曾经爆出的Weblogic WLS 组件漏洞( CVE-2017-10271 ),不排除会有攻击者利用挖矿的可能,因此,建议尽快部署防护措施。

CVE-2018-2628

攻击者可以在未授权的情况下,通过T3协议在WebLogic Server中执行反序列化操作,最终造成远程代码执行漏洞。
Oracle官方将该漏洞等级定义为“高危”

1.1.2影响范围

Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.2
Weblogic 12.2.1.3
漏洞影响 10.3.6.0、 12.1.3.0、 12.2.1.2、 12.2.1.3 及以下的版本。

1.1.3解决方案

Oracle官方已经在4月关键补丁更新中修复了该漏洞,请对受影响的WebLogic Server进行更新。
使用正版软件的许可账号登陆 https://support.oracle.com 后,可以下载最新补丁。

1.1.4临时解决方案

CVE-2018-2628漏洞利用的第一步是与weblogic服务器开放在服务端口上的T3服务建立socket连接,可通过控制T3协议的访问来临时阻断攻击行为。

WebLogic Server 提供了名为 weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器。此连接筛选器接受所有传入连接,可通过此连接筛选器配置规则,对t3及t3s协议进行访问控制。。
1.进入Weblogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。《WebLogic CVE-2018-2628反序列化远程代码执行漏洞》

2.在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:* * 7001 deny t3 t3s

《WebLogic CVE-2018-2628反序列化远程代码执行漏洞》

3.保存后规则即可生效,无需重新启动。

《WebLogic CVE-2018-2628反序列化远程代码执行漏洞》

1.1.5附录

注:连接筛选器规则格式如:target localAddress localPort action protocols,其中:

  • target 指定一个或多个要筛选的服务器。
  • localAddress 可定义服务器的主机地址。(如果指定为一个星号 (*),则返回的匹配结果将是所有本地 IP 地址。)
  • localPort 定义服务器正在监听的端口。(如果指定了星号,则匹配返回的结果将是服务器上所有可用的端口)。
  • action 指定要执行的操作。(值必须为“allow”或“deny”。)
  • protocols 是要进行匹配的协议名列表。(必须指定下列其中一个协议:http、https、t3、t3s、giop、giops、dcom 或 ftp。) 如果未定义协议,则所有协议都将与一个规则匹配。

1.1.6参考资料

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

1.1.7漏洞检测EXP

链接: https://pan.baidu.com/s/1fWmn_N43YGuNZSU1PX7DNg 密码: fmgq

《WebLogic CVE-2018-2628反序列化远程代码执行漏洞》

点赞