返回頂部
隱藏或顯示

新聞動態

News

【漏洞預警】WebLogic wls-async 反序列化遠程命令執行漏洞

/ 2019-04-23

近日,CNVD安全公告中披露了一則WebLogic wls-async 反序列化遠程命令執行漏洞(CNVD-C-2019-48814)。漏洞定級為 High,屬于高危漏洞。該漏洞本質是由于 wls9-async組件在反序列化處理輸入信息時存在缺陷,未經授權的攻擊者可以發送精心構造的惡意 HTTP 請求,獲取服務器權限,實現遠程命令執行。

深信服安全團隊及時響應并發布解決方案,提醒WebLogic 用戶修復漏洞,防范攻擊。

漏洞名稱WebLogic wls-async 反序列化遠程命令執行漏洞

漏洞類型:遠程執行漏洞

影響范圍:WebLogic 10.*、12.1.3

威脅等級:高危

利用程度:容易

漏洞分析

1. WebLogic組件介紹

WebLogic是美國Oracle公司出品的一個Application Server,確切的說是一個基于JAVAEE架構的中間件,是用于開發、集成、部署和管理大型分布式Web應用、網絡應用和數據庫應用的Java應用服務器。

WebLogic將Java的動態功能和Java Enterprise標準的安全性引入大型網絡應用的開發、集成、部署和管理之中。是商業市場上主要的Java(J2EE)應用服務器軟件(Application Server)之一,是世界上第一個成功商業化的J2EE應用服務器,具有可擴展性,快速開發,靈活,可靠性等優勢。

2. 漏洞描述

CNVD-C-2019-48814漏洞主要是利用了WebLogic中的wls9-async組件,攻擊者可以在

/_async/AsyncResponseService路徑下傳入惡意的xml格式的數據,傳入的數據在服務器端反序列化時,執行其中的惡意代碼,實現遠程命令執行,攻擊者可以進而獲得整臺服務器的權限。

3. 漏洞復現

下載WebLogic10.3.6.0版本作為靶機。并對外開放/_async/AsyncResponseService路徑。

傳入構造好的xml數據進行攻擊,如下圖:


漏洞復現

影響范圍

目前據統計,在全球范圍內對互聯網開放WebLogic的資產數量多達35,894臺,其中歸屬中國地區的受影響資產數量為1萬以上。

本次漏洞影響的WebLogic版本:

WebLogic 10.*、12.1.3.0

解決方案

1. 漏洞檢測防御

深信服云眼在漏洞爆發之初,已完成檢測更新,對所有用戶網站探測,保障用戶安全。不清楚自身業務是否存在漏洞的用戶,可注冊信服云眼賬號,獲取30天免費安全體驗。

注冊地址:http://saas.sangfor.com.cn

深信服云鏡在漏洞爆發第一時間就完成從云端下發本地檢測更新,部署云鏡的用戶只需選擇緊急漏洞檢測,即可輕松、快速檢測此高危風險。

深信服下一代防火墻的用戶更新至最新的安全防護規則,可輕松抵御此高危風險。

深信服云盾已第一時間從云端自動更新防護規則,云盾用戶無需操作,即可輕松、快速防御此高危風險。

2. 修復建議

官方暫未發布針對此漏洞的修復補丁,在官方修復之前,可以采取以下方式進行臨時防護:

1)配置URL訪問策略

通過訪問控制策略禁止對/_async/*路徑的訪問。

(2)刪除war文件及相關文件夾,并重啟Weblogic服務。

具體路徑如下:

版本號為10.3.*:

\Middleware\wlserver_10.3\server\lib\bea_wls9_async_response.war

%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\bea_wls9_async_response\

%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\bea_wls9_async_response.war

版本號為12.1.3:

\Middleware\Oracle_Home\oracle_common\modules\com.oracle.webservices.wls.bea-wls9-async-response_12.1.3.war

%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\com.oracle.webservices.wls.bea-wls9-async-response_12.1.3.war
%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\com.oracle.webservices.wls.bea-wls9-async-response_12.1.3



©2000-2018    深信服科技股份有限公司    版權所有     粵ICP備08126214號-5

粵公網安備

粵公網安備44030502002384號

一本道在线综合久久88