1.安全公告

2019年4月16日，Oracle官方發(fā)布了2019年4月安全更新公告，包含了其家族Fusion Middleware、Financial Services Applications、Retail Applications、MySQL等多個產(chǎn)品的安全漏洞公告。

其中有多個Oracle WebLogic Server的遠程代碼執(zhí)行漏洞，對應(yīng)CVE編號：CVE-2019-2658、CVE-2019-2646、CVE-2019-2645等，漏洞公告鏈接：

此次更新CVE列表：

https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html

其他漏洞信息，請參考Oracle歷史安全公告列表：

https://www.oracle.com/technetwork/topics/security/alerts-086861.html

2019年4月17日，中國國家信息安全漏洞共享平臺（CNVD）發(fā)布了關(guān)于Oracle WebLogic wls9-async組件存在反序列化遠程命令執(zhí)行漏洞的安全公告（CNVD-C-2019-48814），通過該漏洞，惡意攻擊者可以在未授權(quán)的情況下遠程執(zhí)行命令，漏洞公告鏈接：

http://www.warmw001.com.cn/News/baike/15.html

該漏洞目前廠商暫未發(fā)布補丁。

2.漏洞描述

Oracle官方發(fā)布的2019年4月安全更新公告的CVE-2019-2658、CVE-2019-2646、CVE-2019-2645等漏洞，涉及Oracle WebLogic Server核心組件WLS和EJB Container，惡意攻擊者可以通過調(diào)用HTTP、T3協(xié)議攻擊默認監(jiān)聽的7001端口，通過漏洞利用工具，從而實現(xiàn)遠程代碼執(zhí)行效果，建議盡快更新補丁和采取相應(yīng)緩解措施。

CNVD-C-2019-48814：部分版本W(wǎng)ebLogic Server中默認包含的wls9_async_response.war和wls-wsat.war存在反序列化遠程命令執(zhí)行漏洞，Oracle官方暫未發(fā)布補丁，建議通過臨時緩解措施加固防護。

3.影響范圍

WebLogic遠程代碼執(zhí)行漏洞CVE-2019-2646、CVE-2019-2645影響以下版本：

Oracle WebLogic Server 10.3.6.0.0版本,

Oracle WebLogic Server 12.1.3.0.0版本,

Oracle WebLogic Server 12.2.1.3.0版本;

WebLogic遠程代碼執(zhí)行漏洞CNVD-C-2019-48814影響以下版本：

WebLogic 10.X

WebLogic 12.1.3

針對全球Oracle WebLogic Server服務(wù)的資產(chǎn)情況統(tǒng)計，最新查詢分布情況如下：

針對國內(nèi)Oracle WebLogic Server服務(wù)的資產(chǎn)情況統(tǒng)計，最新查詢分布情況如下：

4.緩解措施

高危：預(yù)計網(wǎng)上很快會有該遠程代碼執(zhí)行漏洞的POC，建議盡快升級軟件和使用連接篩選器臨時拒絕T3/T3s協(xié)議。

建議盡快安裝安全更新補?。梢允褂肂SU智能更新）或使用連接篩選器臨時阻止外部訪問7001端口的T3/T3s協(xié)議：

連接篩選器：

規(guī)則示例：

0.0.0.0/0 * 7001 deny t3 t3s#拒絕所有訪問

允許和拒絕指定IP規(guī)則示例：

192.168.1.0/24 * 7001 allow t3 t3s#允許指定IP段訪問

192.168.2.0/24 * 7001 deny t3 t3s#拒絕指定IP段訪問

連接篩選器說明參考：

https://docs.oracle.com/cd/E24329_01/web.1211/e24485/con_filtr.htm#SCPRG377

CNVD-C-2019-48814漏洞臨時緩解措施：

查找并刪除wls9_async_response.war、 wls-wsat.war，然后重啟Weblogic服務(wù)；

限制訪問/_async/*、/wls-wsat/*路徑。

威脅推演：此漏洞為遠程代碼執(zhí)行漏洞，基于全球使用該產(chǎn)品用戶的數(shù)量和暴露在網(wǎng)上的端口情況，惡意攻擊者可能會開發(fā)針對該漏洞的自動化攻擊程序，實現(xiàn)漏洞利用成功后自動植入后門程序，并進一步釋放礦工程序或是DDOS僵尸木馬等惡意程序，從而影響到網(wǎng)站服務(wù)的正常提供。

安全運營建議：Oracle WebLogic歷史上已經(jīng)報過多個安全漏洞（其中也有反序列化漏洞），建議使用該產(chǎn)品的企業(yè)經(jīng)常關(guān)注官方安全更新公告。

以上內(nèi)容由四川無國界(www.warmw001.com.cn) 整理編輯——專業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風險管理咨詢服務(wù)。