CVE-2018-2893 WebLogic WLS核心组件反序列化漏洞

1.1.1漏洞描述

Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。

7月18日,Oracle官方发布了季度补丁更新,其中修复了一个 Oracle WebLogic Server 远程代码执行漏洞CVE-2018-2893,此漏洞是对编号为 CVE-2018-2628 修复的绕过,攻击者同样可以在未身份验证的情况下对WebLogic进行攻击。JDK7u21、JDK8u20之前的版本都存在此漏洞。攻击者可以在未授权的情况下将Payload封装在T3协议中,通过对T3协议中的Payload进行反序列化,从而实现对存在漏洞的WebLogic组件进行远程攻击,执行任意代码并可获取目标系统的所有权限。

1.1.2影响范围

WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3

1.1.3解决方案

Oracle 官方已经在 7 月份中的补丁中修复了该漏洞,建议受影响的用户尽快升级更新。

下载地址:http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

本地以下载好补丁,并附带安装过程,安装过程参考的是CVE-2018-2628的文档,请自行更换包的名字。

链接: https://pan.baidu.com/s/1WNt6BdJTAqHPVQWbPVun4g  密码: myip

1.1.4临时解决方案

过滤T3:WebLogic Server 提供了名为 weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器。此连接筛选器接受所有传入连接,可通过此连接筛选器配置规则,对t3及t3s协议进行访问控制。。
1.进入Weblogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。《CVE-2018-2893 WebLogic WLS核心组件反序列化漏洞》

2.在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:* * 7001 deny t3 t3s

《CVE-2018-2893 WebLogic WLS核心组件反序列化漏洞》

3.保存后规则即可生效,无需重新启动。

《CVE-2018-2893 WebLogic WLS核心组件反序列化漏洞》

1.1.5参考资料

http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

1.1.6漏洞检测EXP

cve-2018-2893-poc

点赞