漏洞公告
2021年7月20日,Oracle官方发布了2021年7月安全更新公告,包含了其家族WebLogic Server在内的多个产品安全漏洞公告,其中包括IIOP、T3协议远程代码执行的多个高危漏洞,对应CVE编号:CVE-2021-2394、CVE-2021-2397、CVE-2021-2382相关链接参考:
https://www.oracle.com/security-alerts/cpujul2021.html
漏洞风险矩阵参考(直接筛选CVE编号查询简约漏洞描述):
https://www.oracle.com/security-alerts/cpujul2021verbose.html
根据公告,通过利用Oracle WebLogic Server IIOP、T3协议漏洞,恶意攻击者能实现远程代码执行效果,从而获取目标系统管理权限,建议部署该服务的用户尽快部署漏洞修复补丁或采取缓解措施加固系统。
Oracle历史安全漏洞公告参考:
https://www.oracle.com/security-alerts/
一
影响范围
CVE-2021-2394、CVE-2021-2397、CVE-2021-2382漏洞影响以下Oracle WebLogic Server版本:
WebLogic Server 10.3.6.0.0版本
WebLogic Server 12.1.3.0.0版本
WebLogic Server 12.2.1.3.0版本
WebLogic Server 12.2.1.4.0版本
WebLogic Server 14.1.1.0.0版本
通过安恒SUMAP平台对全球部署的Oracle WebLogic Server进行统计,最新查询分布情况如下:
全球分布:
国内分布:
二
漏洞描述
根据分析,CVE-2021-2394、CVE-2021-2397、CVE-2021-2382漏洞允许未经身份验证的攻击者通过构造恶意的T3、IIOP协议数据包对WebLogic服务器发起攻击,攻击者成功利用漏洞能实现远程代码执行效果,从而获取目标系统管理权限,威胁风险较大,建议部署该服务的用户尽快部署漏洞修复补丁或采取缓解措施加固系统。
三
缓解措施
高危:目前漏洞细节和利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,建议及时测试并升级到漏洞修复的版本。
1、官方修复建议
目前Oracle已发布升级补丁修复了上述漏洞,请用户参考官方通告及时下载更新补丁,并参照补丁包中的readme文件进行安装。
2、临时缓解措施
针对T3协议的临时缓解加固措施:
使用连接筛选器临时阻止外部访问7001端口的T3/T3s协议:
连接筛选器:weblogic.security.net.ConnectionFilterImpl
规则示例:
0.0.0.0/0 * 7001 deny t3 t3s #拒绝所有访问
允许和拒绝指定IP规则示例:
192.168.1.0/24 * 7001 allow t3 t3s #允许指定IP段访问
192.168.2.0/24 * 7001 deny t3 t3s #拒绝指定IP段访问
连接筛选器说明参考(英文):
https://docs.oracle.com/cd/E24329_01/web.1211/e24485/con_filtr.htm#SCPRG377
禁用IIOP协议:
在Weblogic控制台中,选择“base_domain”->”监视”进入“AdminServer”-> “协议”->“IIOP”中,取消“启用IIOP”的勾选。并重启Weblogic项目,使配置生效。
安恒应急响应中心
2021年07月
本文始发于微信公众号(安恒信息应急响应中心):WebLogic Server 高危安全漏洞风险提示(7月)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论