2018年7月18日,Oracle官方发布旗下多个产品的关键补丁更新CPU(Critical Patch Update),其中包含8个9.8评分的Weblogic严重漏洞。其中包含Weblogic反序列化漏洞(CVE-2018-2893)和Weblogic远程命令执行漏洞(CVE-2018-2894)。漏洞可以使远程攻击者可以在未授权的情况下远程执行代码,提升系统权限,控制weblogic服务器。目前,官方只对付费用户提供补丁下载链接。需要补丁的请发送邮件给service@baimaohui.net 获取补丁。请各运维人员,站长及时进行修复。做好防范措施,以免受到不必要的损失。
概况
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
目前FOFA系统最新数据(一年内数据)显示全球范围内共有36537个Weblogic对外开放服务。韩国使用数量最多,共有17923台,美国第二,共有5993台,中国第三,共有5187台,荷兰第四,共有2592台,伊朗第五,共有696台。
全球范围内weblogic分布情况(仅为分布情况,非漏洞影响情况)
中国地区中北京市使用用数量最多,共有1376台;浙江省第二,共有556台台,广东省第三,共有498台,江苏省第四,共有434台,上海市第五,共有355台。
中国地区weblogic分布情况(仅为分布情况,非漏洞影响情况)
危害等级
严重
漏洞原理
CVE-2018-2894
Oracle Fusion中间件(子组件:WLS - Web服务)的Oracle WebLogic Server组件中的漏洞。 攻击者可通过HTTP在未经身份验证的情况下进行攻击,执行任意系统命令,成功利用此漏洞可造成Weblogic服务器被接管。漏洞严重。7 月 19 号国家互联网应急中心 CNCERT 发出通告,指出 CVE-2018-2894 本质上为任意文件上传漏洞,可直接getshell漏洞,可直接获取权限。两个页面分别为/ws_utc/begin.do,/ws_utc/config.do。经过白帽汇安全研究院研究发现,该漏洞主要有web service的客户端测试页面中存在,该功能在默认安装情况下是关闭的。该漏洞仅对开发模式下有效,生产模式下需要登录,该模式下也就无法触发漏洞。
CVE-2018-2893
该漏洞通过JRMP协议利用RMI机制的缺陷达到执行任意反序列化代码的目的,攻击者可以在未授权的情况下构造特定的数据包到T3协议中,从而实现远程攻击,获取系统权限。该漏洞由于官方对CVE-2018-2628漏洞发布的补丁未有效修复,攻击者仍可绕过该漏洞进行攻击,在4月份白帽汇安全研究院已经发现该漏洞仍可利用,并提供相应POC,近日该漏洞被官方分配CVE编号并提供相应补丁,FOFA平台已经确认并更新此漏洞POC信息。
影响
目前漏洞影响版本号包括:
- Weblogic 10.3.6.0
- Weblogic 12.1.3.0
- Weblogic 12.2.1.2
- Weblogic 12.2.1.3
漏洞POC
目前FOFA客户端平台已经更新CVE-2018-2893的检测POC。
漏洞实际影响版本约20余个,其中公布受影响的4个为官方提供修复补丁的4个版本,其余版本仍有可能受到影响。
CVE编号
CVE-2018-2894
CVE-2018-2893
修复建议
1、安装补丁,用户可以通过
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html 连接获取补丁信息。如果无法下载的用户可以发送邮件至service@baimaohui.net。
注:如果使用的是不支持补丁的版本,请升级版本至最新版本。
白帽汇会持续对该漏洞进行跟进。后续可以持续本链接。
参考
[1] http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。