logo.jpg

漏洞描述

Oracle FusionMiddleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。

Oracle官方发布了4月份的关键补丁更新CPU(Critical PatchUpdate),其中包含一个高危的Weblogic反序列化漏洞CVE-2018-2628,该漏洞修补不善导致被绕过。Oracle 官方发布的7月份补丁中修复了该漏洞,分配了漏洞编号CVE-2018-2893。

通过该漏洞,攻击者可以在未授权的情况下远程执行代码。攻击者只需要发送精心构造的T3协议数据,就可以获取目标服务器的权限。攻击者可利用该漏洞控制组件,影响数据的可用性、保密性和完整性。

影响版本

Oracle WebLogic Server 10.3.6.0

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 12.2.1.2

Oracle WebLogic Server 12.2.1.3

全球影响范围


下载.png

image.png

威胁等级

漏洞详情

知识点

  • T3协议

WebLogic Server 中的 RMI 通信使用 T3 协议在WebLogic Server和其他 Java程序(包括客户端及其他 WebLogic Server 实例)间传输数据(序列化的类)。由于WebLogic的T3协议和Web协议共用同一个端口,因此只要能访问WebLogic就可利用T3协议实现payload和目标服务器的通信。

  • JRMP协议

RMI目前使用Java远程消息交换协议JRMP(Java Remote Messaging Protocol)进行通信。JRMP协议是专为Java的远程对象制定的协议。

漏洞复现

  1. 复现环境

    WebLogic 10.3.6.0 (已经安装2018年4月份补丁)

  2. 复现结果

    image.png

  3. 说明

WebLogic 2018年7月份补丁依然使用黑名单方式,还可能存在可能被绕过风险。

image.png

检测Poc

icon_rar.gifcve-2018-2893-poc.zip

解决方案

  1. Oracle 官方已经在 7 月份中的补丁中修复了该漏洞,建议受影响的用户尽快升级更新进行防护。

    http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

  2. 升级到 jdk-8u20以上的版本

  3. 控制T3协议访问

    此漏洞产生于WebLogic的T3服务,因此可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。当开放WebLogic控制台端口(默认为7001端口)时,T3服务会默认开启。

    具体操作:

    (1)进入WebLogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。

    (2)在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s协议的所有端口只允许本地访问)。

    (3)保存后需重新启动,规则方可生效。

image.png