【二次通告】Oracle WebLogic Server远程代码执行漏洞CVE-2021-2394

admin 2021年11月26日13:53:46安全漏洞评论183 views2439字阅读8分7秒阅读模式

漏洞名称 Oracle WebLogic Server远程代码执行漏洞CVE-2021-2394

组件名称 :Oracle WebLogic Server

影响范围 

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

漏洞类型 远程代码执行

利用条件 :

1、用户认证:不需要用户认证

2、触发方式:远程

综合评价 :

<综合评定利用难度>:容易,无需授权即可远程代码执行。

<综合评定威胁等级>:高危,能造成远程代码执行。


漏洞分析


组件介绍

    WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。


2 漏洞描述

    近日,深信服安全团队监测到Oracle官方发布了2021年7月份安全更新通告,通告中披露了WebLogic组件存在高危漏洞,漏洞编号:CVE-2021-2394。

    攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞的WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。


漏洞复现


搭建WebLogic Server组件12.2.1.3.0版本环境,复现CVE-2021-2394漏洞,效果如下:

【二次通告】Oracle WebLogic Server远程代码执行漏洞CVE-2021-2394


影响范围


   可能受漏洞影响的资产广泛分布于世界各地,主要集中在美国、日本、新加坡等国家,国内主要集中在北京、广东、上海等地。

   目前受影响的Oracle WebLogic Server版本:

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0



解决方案


1 如何检测组件系统版本

   用户可以通过进入WebLogic安装主目录下的OPatch目录,在此处打开命令行,输入.opatch lspatches命令,结果如下:

【二次通告】Oracle WebLogic Server远程代码执行漏洞CVE-2021-2394


2 官方修复建议

   当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。链接如下:

https://www.oracle.com/security-alerts/cpuapr2021.html


打补丁/升级方法:

使用Opatch进行补丁安装

进入OracleMiddlewareOracle_HomeOPatch路径下,运行opatch.bat脚本

【二次通告】Oracle WebLogic Server远程代码执行漏洞CVE-2021-2394

运行opatch apply {WebLogic补丁文件夹}命令进行补丁安装,如下图:

【二次通告】Oracle WebLogic Server远程代码执行漏洞CVE-2021-2394

再运行opatch lspatches命令,查看补丁号,确认是否成功安装最新补丁。

【二次通告】Oracle WebLogic Server远程代码执行漏洞CVE-2021-2394

注:用户需要使用Oracle官方更新的最新补丁,并且结合自己实际使用的WebLogic Server版本号,选择对应的补丁进行安装。


3 临时修复建议

    该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:

例如:

1.可通过关闭IIOP协议对此漏洞进行临时防御。操作如下:

在WebLogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启WebLogic项目,使配置生效。

【二次通告】Oracle WebLogic Server远程代码执行漏洞CVE-2021-2394

2.对T3服务进行控制

控制T3服务的方法:

【二次通告】Oracle WebLogic Server远程代码执行漏洞CVE-2021-2394

在上图这个WebLogic界面中选择安全-筛选器,在下方出现的界面中找到“连接筛选器”,在里面输入

security.net.ConnectionFilterImpl

然后在连接筛选器规则中输入

127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s

最后保存并重启服务器即可生效。


4 深信服解决方案

深信服下一代防火墙】规则已发布,可防御WebLogic远程代码执行漏洞(CVE-2021-2394), 建议用户将深信服下一代防火墙开启 IPS 防护策略,并更新最新安全防护规则,即可轻松抵御此高危风险。

深信服安全感知平台】规则已发布,结合云端实时热点高危/紧急漏洞信息,可快速检出业务场景下的WebLogic远程代码执行漏洞(CVE-2021-2394),并可联动【深信服下一代防火墙等产品】实现对攻击者IP的封堵。

深信服安全云眼】插件已发布,在WebLogic远程代码执行漏洞(CVE-2021-2394)爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。

注册地址:http://saas.sangfor.com.cn

深信服云镜】插件已发布,在WebLogic远程代码执行漏洞(CVE-2021-2394)爆发第一时间即完成检测能力的发布,部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响,避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力,可以连接云端升级的用户可自动获得漏洞检测能力。


时间轴


2021/7/21  深信服监测到Orcale官方发布安全更新公告。

2021/7/21 深信服千里目安全实验室发布漏洞通告。

2021/7/26 深信服千里目安全实验室复现WebLogic远程代码执行漏洞(CVE-2021-2394)并发布解决方案。



点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【二次通告】Oracle WebLogic Server远程代码执行漏洞CVE-2021-2394


深信服千里目安全实验室

【二次通告】Oracle WebLogic Server远程代码执行漏洞CVE-2021-2394

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们



本文始发于微信公众号(深信服千里目安全实验室):【二次通告】Oracle WebLogic Server远程代码执行漏洞CVE-2021-2394

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月26日13:53:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【二次通告】Oracle WebLogic Server远程代码执行漏洞CVE-2021-2394 http://cn-sec.com/archives/436750.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: