事件来源Oracle 官方在 10 月 16 日发布了严重补丁更新 CPU(Critical Patch Update),其中有 5 个针对 WebLogic Server 的高危漏洞,官方危害评级 9.8 分: https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html 漏洞描述
上述 5 个漏洞都是官方危害评级 9.8 分的高危漏洞,并且可以在远程并且未授权的状态下进行利用。它们均针对 WebLogic Server 的 WSL 核心组件,并通过 T3 协议进行利用。 尽管目前暂无漏洞相关具体信息,不过根据 WebLogic 以往的历史漏洞,可以判断这些漏洞仍是针对 WebLogic 反序列化类黑名单进行绕过。攻击者通过利用 T3 协议对反序列化对象进行封装发到 WebLogic 服务端口,当 WebLogic 服务端对 T3 协议数据进行处理时,即会触发反序列化漏洞。 影响范围
解决方案使用 Oracle 官方安全补丁进行更新修复: 由于 WebLogic 基于 T3/T3S 协议利用的反序列化漏洞层出不穷,在确认不影响业务的情况下可以考虑配置 WebLogic 对外部禁用 T3/T3S 协议。 配置 WebLogic 对外部禁用 T3/T3S 协议的具体步骤: 登入 WebLogic 控制台,在对应域设置中选择 “安全”-“筛选器” 选项卡:
在 “连接筛选器” 输入框中输入: weblogic.security.net.ConnectionFilterImpl 在 “连接筛选器规则” 输入框中输入(即配置为仅允许本机使用 T3/T3S 协议通信,禁用除本机以外其他主机使用 T3/T3S 协议通信): 127.0.0.1 * * allow t3 t3s 0.0.0.0/0 * * deny t3 t3s 输入后保存提交即可。 参考资料https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html 红客联盟安全预警响应中心 模拟黑客的思维和方式发现您的系统漏洞及安全隐患 以完全公益形式为广大红盟会员提供渗透测试 根据网站模式,有关渗透流程我们将提前告知 如您有需要,请随时与我们联系 红客联盟安全预警团队全力为安全护航 7*24小时,守护您的安全! 第一时间找到我们: 应急响应邮箱:binger@cnhonkerarmy.com |
