溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
WebLogic反序列化漏洞(CVE-2018-2628)安全預警
|
TAG |
Oracle WebLogic、CVE-2018-2628、反序列化 |
|
關注級別 |
紅,此漏洞利用簡單,可直接獲取系統控制權限,存在被攻擊者挖礦利用的可能性 |
|
發布日期 |
2018-4-18 |
|
版本 |
V1.0 |
一. 漏洞概述
北京時間4月18日凌晨,Oracle官方發布了4月份的關鍵補丁更新CPU(Critical Patch Update),其中包含一個高危的遠程代碼執行漏洞(CVE-2018-2628),通過該漏洞,攻擊者可以在未授權的情況下遠程執行任意代碼。
CVSS 評分:9.8,CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
二. 影響范圍
受影響的版本
l Weblogic 10.3.6.0
l Weblogic 12.1.3.0
l Weblogic 12.2.1.2
l Weblogic 12.2.1.3
以上均為官方支持的版本
三. 漏洞防護
若通過Nginx/Apache配置反向代理的方式訪問Weblogic應用,就限制了Weblogic T3的直接訪問,此漏洞也將不能直接被利用。
3.1 補丁修復
官方在4月份發布的關鍵補丁更新中已對此漏洞進行了修復。可參考鏈接:
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
補丁更新操作可參考鏈接:
https://docs.oracle.com/middleware/12213/lcm/OPATC/GUID-56D6728D-5EDC-482B-B2E4-DDB20A64FA32.htm#OPATC143
可以通過升級weblogic對應補丁的方法進行漏洞修復。
3.2 推薦配置黑名單解決方案
可通過控制T3協議的訪問來臨時阻斷針對該漏洞的攻擊。WebLogic Server 提供了名為 weblogic.security.net.ConnectionFilterImpl 的默認連接篩選器,此連接篩選器接受所有傳入連接,可通過此連接篩選器配置規則,對t3及t3s協議進行訪問控制,詳細操作步驟如下:
1. 進入Weblogic控制臺,在base_domain的配置頁面中,進入“安全”選項卡頁面,點擊“篩選器”,進入連接篩選器配置。
2. 在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl,在連接篩選器規則中輸入:* * 7001 deny t3 t3s
連接篩選器內容輸入:
127.0.0.1 * 7001 allow
192.168.1.100 * 7001 allow
* * 7001 deny t3 t3s
* * 8080 deny t3 t3s
說明:
配置的目的是,僅允許服務器自己及集群內的服務器通過t3協議連接此服務器。禁止來自于其他IP地址的通過t3和t3s協議連接相應的端口。
假定:控制臺端口為7001,192.168.1.100 為服務器的真實IP地址,如有集群內的服務器通過控制臺端口互訪,也需要增加上相應的IP地址,8080為應用服務端口。
如果配置錯誤,可能導致服務啟動失敗。如果服務啟動失敗,可以修改config/config.xml文件內容,恢復或修正配置。
3. 保存規則之后激活更改。
|
連接篩選器規則格式如:target localAddress localPort action protocols,其中: l target 指定一個或多個要篩選的服務器。 l localAddress 可定義服務器的主機地址。(如果指定為一個星號 (*),則返回的匹配結果將是所有本地 IP 地址。) l localPort 定義服務器正在監聽的端口。(如果指定了星號,則匹配返回的結果將是服務器上所有可用的端口)。 l action 指定要執行的操作。(值必須為“allow”或“deny”。) l protocols 是要進行匹配的協議名列表。(必須指定下列其中一個協議:http、https、t3、t3s、giop、giops、dcom 或 ftp。) 如果未定義協議,則所有協議都將與一個規則匹配。 |
4. 重啟服務。
|
single:/home/oracle@db> ps -ef | grep weblogic root 5038 5012 0 10:00 pts/2 00:00:00 su - weblogic weblogic 5039 5038 0 10:00 pts/2 00:00:00 -bash weblogic 5623 5039 0 10:41 pts/2 00:00:00 /bin/sh ./startWebLogic.sh weblogic 5624 5623 0 10:41 pts/2 00:00:00 /bin/sh /weblogic/Oracle/Middleware/user_projects/domains/weblogic/bin/startWebLogic.sh weblogic 5674 5624 99 10:42 pts/2 00:00:31 /usr/java/jdk1.8.0_20/bin/java -server -Xms256m -Xmx512m -XX:MaxPermSize=256m -Dweblogic.Name=AdminServer -Djava.security.policy=/weblogic/Oracle/Middleware/wlserver_10.3/server/lib/weblogic.policy -Dweblogic.ProductionModeEnabled=true -da -Dplatform.home=/weblogic/Oracle/Middleware/wlserver_10.3 -Dwls.home=/weblogic/Oracle/Middleware/wlserver_10.3/server -Dweblogic.home=/weblogic/Oracle/Middleware/wlserver_10.3/server -Dweblogic.management.discover=true -Dwlw.iterativeDev=false -Dwlw.testConsole=false -Dwlw.logErrorsToConsole=false -Dweblogic.ext.dirs=/weblogic/Oracle/Middleware/patch_wls1036/profiles/default/sysext_manifest_classpath:/weblogic/Oracle/Middleware/patch_ocp371/profiles/default/sysext_manifest_classpath -Dweblogic.management.username=weblogic -Dweblogic.management.password=weblogic_123 weblogic.Server root 5716 4743 0 10:42 pts/1 00:00:00 grep weblogic
single:/home/oracle@db> kill -9 5674 single:/home/oracle@db> su - weblogic single:/weblogic/Oracle/Middleware/user_projects/domains/weblogic@weblogic> nohup ./startWebLogic.sh & [1] 5835 single:/weblogic/Oracle/Middleware/user_projects/domains/weblogic@weblogic> nohup: ignoring input and appending output to `nohup.out'
single:/weblogic/Oracle/Middleware/user_projects/domains/weblogic@weblogic>
|
通過配置黑名單的方式也可以解決這個問題。
四. 漏洞影響排查
4.1 版本檢查
使用如下命令對WebLogic版本進行排查
|
$ cd /lopt/bea92sp2/weblogic92/server/lib $ java -cp weblogic.jar weblogic.version |
此漏洞影響到Oracle官方現支持的所有版本,使用Weblogic中間件的企業還需檢測是否對互聯網開放了Weblogic端口(默認為7001端口和7002端口),如果Weblogic T3服務可被遠程訪問。則存在漏洞風險,請受影響的用戶及時進行加固。漏洞利用排查
當Weblogic中間件受到攻擊時,會報出類轉換異常,并在AdminServer.log日志中輸出異常信息。因此,通過查看AdminServer.log文件,可以判斷Weblogic服務器是否有被此漏洞利用的情況。
AdminServer.log存放的位置為:
|
\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain\servers\AdminServer\logs\AdminServer.log |
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
