【更新】Oracle WebLogic Server远程代码执行漏洞(CVE-2021-2108)

  • A+
所属分类:安全新闻

近日,深信服安全团队监测到一则Oracle WebLogic Server组件存在远程代码执行漏洞的信息,漏洞编号:CVE-2021-2108,漏洞等级:高危。该漏洞是由于WebLogic未对传入的反序列化数据进行严格的过滤,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行远程代码攻击,最终接管Oracle WebLogic Server。

漏洞名称Oracle WebLogic Server远程代码执行漏洞CVE-2021-2108

组件名称 : Oracle WebLogic Server

威胁等级 高危

影响范围 Oracle WebLogic Server 12.1.3.0.0

漏洞类型 : 远程代码执行

利用条件1、用户认证:不需要用户认证

2、前置条件:开放T3协议
3、触发方式:远程

造成后果 : 成功利用此漏洞可能接管Oracle WebLogic Server


漏洞分析


组件介绍

WebLogic是美国Oracle公司出品的一个Application Server,确切的说是一个基于Java EE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

WebLogic将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中,是商业市场上主要的Java(J2EE)应用服务器软件(Application Server)之一,是世界上第一个成功商业化的J2EE应用服务器,具有可扩展性,快速开发,灵活,可靠性等优势。


2 漏洞描述

近日,深信服安全团队监测到一则Oracle WebLogic Server组件存在远程代码执行漏洞的信息,漏洞编号:CVE-2021-2108,漏洞等级:高危。该漏洞是由于WebLogic未对传入的反序列化数据进行严格的过滤,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行远程代码攻击,最终接管Oracle WebLogic Server。


3 漏洞复现

搭建Oracle WebLogic Server组件12.1.3.0.0版本环境,复现该漏洞,效果如下:

【更新】Oracle WebLogic Server远程代码执行漏洞(CVE-2021-2108)


影响范围


目前受影响的Oracle WebLogic Server版本:

Oracle WebLogic Server 12.1.3.0.0


解决方案


1 自检方案

用户可以通过进入WebLogic安装主目录下的OPatch目录,在此处打开命令行,输入.opatch lspatches命令,结果如下:

【更新】Oracle WebLogic Server远程代码执行漏洞(CVE-2021-2108)

如上图试验设备补丁号为31656851,低于32052261,在受影响范围内。


2 官方修复建议

当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。链接如下:

https://www.oracle.com/security-alerts/cpujan2021.html


使用Opatch进行补丁安装

进入OracleMiddlewareOracle_HomeOPatch路径下,运行opatch.bat脚本

【更新】Oracle WebLogic Server远程代码执行漏洞(CVE-2021-2108)

运行opatch apply {weblogic补丁文件夹}命令进行补丁安装,如下图:

【更新】Oracle WebLogic Server远程代码执行漏洞(CVE-2021-2108)

再运行opatch lspatches命令,查看补丁号,确认是否成功安装最新补丁。

【更新】Oracle WebLogic Server远程代码执行漏洞(CVE-2021-2108)

注:用户需要使用Oracle官方更新的最新补丁,并且结合自己实际使用的WebLogic Server版本号,选择对应的补丁进行安装。


2 临时修复建议

该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:


1.可通过关闭IIOP协议对此漏洞进行临时防御。操作如下:

在Weblogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启Weblogic项目,使配置生效。

【更新】Oracle WebLogic Server远程代码执行漏洞(CVE-2021-2108)

2.对T3服务进行控制

控制T3服务的方法:

【更新】Oracle WebLogic Server远程代码执行漏洞(CVE-2021-2108)

在上图这个WebLogic界面中选择安全-筛选器,在下方出现的界面中找到“连接筛选器”,在里面输入

security.net.ConnectionFilterImpl

然后在连接筛选器规则中输入

127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s

最后保存并重启服务器即可生效。


3 深信服解决方案

深信服下一代防火墙】可轻松防御此漏洞,建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。

深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。

深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初,云端安全专家即对客户的网络环境进行漏洞扫描,保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。

深信服安全云眼】在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。

注册地址:http://saas.sangfor.com.cn

深信服云镜】在漏洞爆发第一时间即完成检测能力的发布,部署云端版云镜的用户只需选择紧急漏洞检测,即可轻松、快速检测此高危风险。部署离线版云镜的用户需要下载离线更新包来获取该漏洞的检测能力。


时间轴


2021/1/20 Oracle官方发布安全补丁

2021/1/20  深信服千里目安全实验室发布漏洞通告

2021/1/23  深信服千里目安全实验室复现该漏洞、发布解决方案


点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【更新】Oracle WebLogic Server远程代码执行漏洞(CVE-2021-2108)


深信服千里目安全实验室

【更新】Oracle WebLogic Server远程代码执行漏洞(CVE-2021-2108)

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们



本文始发于微信公众号(深信服千里目安全实验室):【更新】Oracle WebLogic Server远程代码执行漏洞(CVE-2021-2108)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: