1.安全公告

2019年4月16日，Oracle官方發(fā)布了2019年4月安全更新公告，包含了其家族Fusion Middleware、Financial Services Applications、Retail Applications、MySQL等多個(gè)產(chǎn)品的安全漏洞公告。

其中有多個(gè)Oracle WebLogic Server的遠(yuǎn)程代碼執(zhí)行漏洞，對應(yīng)CVE編號(hào)：CVE-2019-2658、CVE-2019-2646、CVE-2019-2645等，漏洞公告鏈接：

此次更新CVE列表：

https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html

其他漏洞信息，請參考Oracle歷史安全公告列表：

https://www.oracle.com/technetwork/topics/security/alerts-086861.html

2019年4月17日，中國國家信息安全漏洞共享平臺(tái)（CNVD）發(fā)布了關(guān)于Oracle WebLogic wls9-async組件存在反序列化遠(yuǎn)程命令執(zhí)行漏洞的安全公告（CNVD-C-2019-48814），通過該漏洞，惡意攻擊者可以在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令，漏洞公告鏈接：

http://mqptxio.cn/News/baike/15.html

該漏洞目前廠商暫未發(fā)布補(bǔ)丁。

2.漏洞描述

Oracle官方發(fā)布的2019年4月安全更新公告的CVE-2019-2658、CVE-2019-2646、CVE-2019-2645等漏洞，涉及Oracle WebLogic Server核心組件WLS和EJB Container，惡意攻擊者可以通過調(diào)用HTTP、T3協(xié)議攻擊默認(rèn)監(jiān)聽的7001端口，通過漏洞利用工具，從而實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行效果，建議盡快更新補(bǔ)丁和采取相應(yīng)緩解措施。

CNVD-C-2019-48814：部分版本W(wǎng)ebLogic Server中默認(rèn)包含的wls9_async_response.war和wls-wsat.war存在反序列化遠(yuǎn)程命令執(zhí)行漏洞，Oracle官方暫未發(fā)布補(bǔ)丁，建議通過臨時(shí)緩解措施加固防護(hù)。

3.影響范圍

WebLogic遠(yuǎn)程代碼執(zhí)行漏洞CVE-2019-2646、CVE-2019-2645影響以下版本：

Oracle WebLogic Server 10.3.6.0.0版本,

Oracle WebLogic Server 12.1.3.0.0版本,

Oracle WebLogic Server 12.2.1.3.0版本;

WebLogic遠(yuǎn)程代碼執(zhí)行漏洞CNVD-C-2019-48814影響以下版本：

WebLogic 10.X

WebLogic 12.1.3

針對全球Oracle WebLogic Server服務(wù)的資產(chǎn)情況統(tǒng)計(jì)，最新查詢分布情況如下：

針對國內(nèi)Oracle WebLogic Server服務(wù)的資產(chǎn)情況統(tǒng)計(jì)，最新查詢分布情況如下：

4.緩解措施

高危：預(yù)計(jì)網(wǎng)上很快會(huì)有該遠(yuǎn)程代碼執(zhí)行漏洞的POC，建議盡快升級(jí)軟件和使用連接篩選器臨時(shí)拒絕T3/T3s協(xié)議。

建議盡快安裝安全更新補(bǔ)丁（可以使用BSU智能更新）或使用連接篩選器臨時(shí)阻止外部訪問7001端口的T3/T3s協(xié)議：

連接篩選器：

規(guī)則示例：

0.0.0.0/0 * 7001 deny t3 t3s#拒絕所有訪問

允許和拒絕指定IP規(guī)則示例：

192.168.1.0/24 * 7001 allow t3 t3s#允許指定IP段訪問

192.168.2.0/24 * 7001 deny t3 t3s#拒絕指定IP段訪問

連接篩選器說明參考：

https://docs.oracle.com/cd/E24329_01/web.1211/e24485/con_filtr.htm#SCPRG377

CNVD-C-2019-48814漏洞臨時(shí)緩解措施：

查找并刪除wls9_async_response.war、 wls-wsat.war，然后重啟Weblogic服務(wù)；

限制訪問/_async/*、/wls-wsat/*路徑。

威脅推演：此漏洞為遠(yuǎn)程代碼執(zhí)行漏洞，基于全球使用該產(chǎn)品用戶的數(shù)量和暴露在網(wǎng)上的端口情況，惡意攻擊者可能會(huì)開發(fā)針對該漏洞的自動(dòng)化攻擊程序，實(shí)現(xiàn)漏洞利用成功后自動(dòng)植入后門程序，并進(jìn)一步釋放礦工程序或是DDOS僵尸木馬等惡意程序，從而影響到網(wǎng)站服務(wù)的正常提供。

安全運(yùn)營建議：Oracle WebLogic歷史上已經(jīng)報(bào)過多個(gè)安全漏洞（其中也有反序列化漏洞），建議使用該產(chǎn)品的企業(yè)經(jīng)常關(guān)注官方安全更新公告。

以上內(nèi)容由四川無國界(mqptxio.cn) 整理編輯——專業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風(fēng)險(xiǎn)管理咨詢服務(wù)。