WebLogic T3协议反序列化远程代码执行补丁绕过
Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。
Oracle官方在北京时间2018年4月18日发布了4月关键补丁更新,其中包含了Oracle WebLogic Server的一个高危漏洞(CVE-2018-2628)。该漏洞由loopx9和绿盟科技安全团队的廖新喜发现。
然而,在2018年04月25日,知道创宇404实验室发布了针对该漏洞的分析文章,在文章中表示官方提供的补丁可被绕过,攻击可以依然可以利用同样的漏洞在已安装补丁的WebLogic上实现远程代码执行,并且到目前为止,官方仍未提供任何修复建议。
漏洞描述
攻击者可以在未授权的情况下,通过T3协议在WebLogic Server中执行反序列化操作,最终造成远程代码执行漏洞。
Oracle官方将漏洞CVE-2018-2628等级定义为“高危”,并且在修复时仅仅在黑名单中添加了一个过滤的接口,但最近研究表明,这种方式并没有起到完全修复的效果。
影响范围
漏洞影响 10.3.6.0、 12.1.3.0、 12.2.1.2、 12.2.1.3 及以下的版本。
解决方案
建议关闭WebLogic服务,或者暂时关闭对应端口,等待官方发布修复补丁。
由于WebLogic本身架构设计上缺乏安全考虑,长远来看建议寻找替代WebLogic的方案。
参考资料
https://paper.seebug.org/584/
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
长 亭 应 急 响 应 服 务
全力进行产品升级
及时将预警预案发送给客户
检测业务是否受到此次漏洞影响
请联系长亭应急团队
7*24小时,守护您的安全!
第一时间找到我们:
邮箱:support@chaitin.com
应急响应热线:4000-327-707
保护企业级用户应用层安全,防止网络犯罪攻击,请戳入小程序,申请试用-雷池(SafeLine)下一代Web应用防火墙。