WebLogic反序列化漏洞(CVE-2018-2628)安全预警
|
TAG |
Oracle WebLogic、CVE-2018-2628、反序列化 |
|
关注级别 |
红,此漏洞利用简单,可直接获取系统控制权限,存在被攻击者挖矿利用的可能性 |
|
发布日期 |
2018-4-18 |
|
版本 |
V1.0 |
一. 漏洞概述
北京时间4月18日凌晨,Oracle官方发布了4月份的关键补丁更新CPU(Critical Patch Update),其中包含一个高危的远程代码执行漏洞(CVE-2018-2628),通过该漏洞,攻击者可以在未授权的情况下远程执行任意代码。
CVSS 评分:9.8,CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
二. 影响范围
受影响的版本
l Weblogic 10.3.6.0
l Weblogic 12.1.3.0
l Weblogic 12.2.1.2
l Weblogic 12.2.1.3
以上均为官方支持的版本
三. 漏洞防护
若通过Nginx/Apache配置反向代理的方式访问Weblogic应用,就限制了Weblogic T3的直接访问,此漏洞也将不能直接被利用。
3.1 补丁修复
官方在4月份发布的关键补丁更新中已对此漏洞进行了修复。可参考链接:
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
补丁更新操作可参考链接:
https://docs.oracle.com/middleware/12213/lcm/OPATC/GUID-56D6728D-5EDC-482B-B2E4-DDB20A64FA32.htm#OPATC143
可以通过升级weblogic对应补丁的方法进行漏洞修复。
3.2 推荐配置黑名单解决方案
可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。WebLogic Server 提供了名为 weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器,此连接筛选器接受所有传入连接,可通过此连接筛选器配置规则,对t3及t3s协议进行访问控制,详细操作步骤如下:
1. 进入Weblogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。
2. 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:* * 7001 deny t3 t3s
连接筛选器内容输入:
127.0.0.1 * 7001 allow
192.168.1.100 * 7001 allow
* * 7001 deny t3 t3s
* * 8080 deny t3 t3s
说明:
配置的目的是,仅允许服务器自己及集群内的服务器通过t3协议连接此服务器。禁止来自于其他IP地址的通过t3和t3s协议连接相应的端口。
假定:控制台端口为7001,192.168.1.100 为服务器的真实IP地址,如有集群内的服务器通过控制台端口互访,也需要增加上相应的IP地址,8080为应用服务端口。
如果配置错误,可能导致服务启动失败。如果服务启动失败,可以修改config/config.xml文件内容,恢复或修正配置。
3. 保存规则之后激活更改。
|
连接筛选器规则格式如:target localAddress localPort action protocols,其中: l target 指定一个或多个要筛选的服务器。 l localAddress 可定义服务器的主机地址。(如果指定为一个星号 (*),则返回的匹配结果将是所有本地 IP 地址。) l localPort 定义服务器正在监听的端口。(如果指定了星号,则匹配返回的结果将是服务器上所有可用的端口)。 l action 指定要执行的操作。(值必须为“allow”或“deny”。) l protocols 是要进行匹配的协议名列表。(必须指定下列其中一个协议:http、https、t3、t3s、giop、giops、dcom 或 ftp。) 如果未定义协议,则所有协议都将与一个规则匹配。 |
4. 重启服务。
|
single:/home/oracle@db> ps -ef | grep weblogic root 5038 5012 0 10:00 pts/2 00:00:00 su - weblogic weblogic 5039 5038 0 10:00 pts/2 00:00:00 -bash weblogic 5623 5039 0 10:41 pts/2 00:00:00 /bin/sh ./startWebLogic.sh weblogic 5624 5623 0 10:41 pts/2 00:00:00 /bin/sh /weblogic/Oracle/Middleware/user_projects/domains/weblogic/bin/startWebLogic.sh weblogic 5674 5624 99 10:42 pts/2 00:00:31 /usr/java/jdk1.8.0_20/bin/java -server -Xms256m -Xmx512m -XX:MaxPermSize=256m -Dweblogic.Name=AdminServer -Djava.security.policy=/weblogic/Oracle/Middleware/wlserver_10.3/server/lib/weblogic.policy -Dweblogic.ProductionModeEnabled=true -da -Dplatform.home=/weblogic/Oracle/Middleware/wlserver_10.3 -Dwls.home=/weblogic/Oracle/Middleware/wlserver_10.3/server -Dweblogic.home=/weblogic/Oracle/Middleware/wlserver_10.3/server -Dweblogic.management.discover=true -Dwlw.iterativeDev=false -Dwlw.testConsole=false -Dwlw.logErrorsToConsole=false -Dweblogic.ext.dirs=/weblogic/Oracle/Middleware/patch_wls1036/profiles/default/sysext_manifest_classpath:/weblogic/Oracle/Middleware/patch_ocp371/profiles/default/sysext_manifest_classpath -Dweblogic.management.username=weblogic -Dweblogic.management.password=weblogic_123 weblogic.Server root 5716 4743 0 10:42 pts/1 00:00:00 grep weblogic
single:/home/oracle@db> kill -9 5674 single:/home/oracle@db> su - weblogic single:/weblogic/Oracle/Middleware/user_projects/domains/weblogic@weblogic> nohup ./startWebLogic.sh & [1] 5835 single:/weblogic/Oracle/Middleware/user_projects/domains/weblogic@weblogic> nohup: ignoring input and appending output to `nohup.out'
single:/weblogic/Oracle/Middleware/user_projects/domains/weblogic@weblogic>
|
通过配置黑名单的方式也可以解决这个问题。
四. 漏洞影响排查
4.1 版本检查
使用如下命令对WebLogic版本进行排查
|
$ cd /lopt/bea92sp2/weblogic92/server/lib $ java -cp weblogic.jar weblogic.version |
此漏洞影响到Oracle官方现支持的所有版本,使用Weblogic中间件的企业还需检测是否对互联网开放了Weblogic端口(默认为7001端口和7002端口),如果Weblogic T3服务可被远程访问。则存在漏洞风险,请受影响的用户及时进行加固。漏洞利用排查
当Weblogic中间件受到攻击时,会报出类转换异常,并在AdminServer.log日志中输出异常信息。因此,通过查看AdminServer.log文件,可以判断Weblogic服务器是否有被此漏洞利用的情况。
AdminServer.log存放的位置为:
|
\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain\servers\AdminServer\logs\AdminServer.log |
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
