安基網 首頁 資訊 安全報 查看內容

Oracle WebLogic遠程命令執行0day漏洞(CVE-2019-2725補丁繞過)

2019-6-16 16:30| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 概述近日,奇安信天眼與安服團隊通過數據監控發現,野外出現Oracle WebLogic遠程命令執行漏洞最新利用代碼,此攻擊利用繞過了廠商今年4月底所發布的最新安全補丁(CVE-2019-2725)。由于該WAR包在反序列化處理輸入信息時存在缺陷,攻擊者可以發送精心構造的惡意 HTTP 請求,在未授權的情況下遠程執行命 ...

概述

近日,奇安信天眼與安服團隊通過數據監控發現,野外出現Oracle WebLogic遠程命令執行漏洞最新利用代碼,此攻擊利用繞過了廠商今年4月底所發布的最新安全補丁(CVE-2019-2725)。

由于該WAR包在反序列化處理輸入信息時存在缺陷,攻擊者可以發送精心構造的惡意 HTTP 請求,在未授權的情況下遠程執行命令,獲得目標服務器的權限。目前,該漏洞已出現野外的利用,但官方尚未給出相應的補丁,處于0day狀態。奇安信威脅情報中心已經通知廠商此問題的存在,相信很快會有相應的新補丁,在此我們強烈建議用戶采取建議的臨時處置措施免受漏洞的影響。

漏洞技術細節

危害級別:【高危】

受影響版本:

WebLogic 10.3.6.0

WebLogic 12.1.3

技術細節:

通過CVE-2019-2725補丁分析發現,較上一個漏洞CVE-2017-10271補丁而言,官方新增了對class元素的過濾,并且array元素的length屬性轉換為整形后不得大于10000:

本次漏洞利用某個元素成功替換了補丁所限制的元素,再次繞過了補丁黑名單策略,最終造成遠程命令執行。

臨時解決方案

由于目前廠商還未提供漏洞相應的官方補丁,建議采取如下臨時措施規避漏洞導致的風險:

l 配置URL訪問控制策略

部署于公網的WebLogic服務器,可通過ACL禁止對/_async/*及/wls-wsat/*路徑的訪問。

l 刪除不安全文件

刪除wls9_async_response.war與wls-wsat.war文件及相關文件夾,并重啟Weblogic服務。具體文件路徑如下:

10.3.*版本:

\Middleware\wlserver_10.3\server\lib\

%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

12.1.3版本:

\Middleware\Oracle_Home\oracle_common\modules\

%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

注:wls9_async_response.war及wls-wsat.war屬于一級應用包,對其進行移除或更名操作可能造成未知的后果,Oracle官方不建議對其進行此類操作。若在直接刪除此包的情況下應用出現問題,將無法得到Oracle產品部門的技術支持。請用戶自行進行影響評估,并對此文件進行備份后,再執行此操作。

建議使用WebLogic Server構建網站的信息系統運營者進行自查,發現存在漏洞后,按照臨時解決方案及時進行修復。請密切關注Oracle官方7月補丁通告。

l 禁用bea_wls9_async_response組件

用戶可通過在weblogic啟動參數中禁用bea_wls9_async_response的方式,對此漏洞形成臨時防護。

在禁用不安全組件前,需請開發人員確認應用系統是否使用了weblogic提供的異步WebService功能,排查方法請附錄章節。如果確認沒有使用,可以使用如下方式禁用此功能:

a)以windows系統為例,在啟動文件(%DOMAIN_HOME%\bin\startWeblogic.cmd)中加如下參數:

set JAVA_OPTIONS=%JAVA_OPTIONS% -Dweblogic.wsee.skip.async.response=true

set JAVA_OPTIONS=%JAVA_OPTIONS% -Dweblogic.wsee.wstx.wsat.deployed=false

b) 對應用程序進行嚴格測試。

c)測試結果沒有問題后,重啟Weblogic服務,使參數生效。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6702750148075717131/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手
1

雷人

路過

雞蛋

剛表態過的朋友 (1 人)

相關閱讀

最新評論

 最新
返回頂部
云南快乐十分开奖结果前三