【更新】Weblogic远程代码执行漏洞CVE-2020-2551

CVE-2020-2551远程代码执行漏洞是Oracle官方2020年1月关键补丁更新的重要漏洞。该漏洞可以绕过Oracle官方在2019年10月份发布的安全补丁，攻击者可以通过IIOP协议远程访问Weblogic Server服务器上的远程接口，传入精心构造的数据，在目标服务器上执行任意代码。近期深信服千里目安全实验室成功复现此漏洞，并发布解决方案。

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic是商业市场上主要的Java（J2EE）应用服务器软件（application server）之一，是世界上第一个成功商业化的J2EE应用服务器，具有可扩展性，快速开发，灵活，可靠性等优势。

该漏洞可以绕过Oracle官方在2019年10月份发布的最新安全补丁。IIOP协议以Java接口的形式对远程对象进行访问，默认启用。攻击者可以通过IIOP协议远程访问Weblogic Server服务器上的远程接口，传入精心构造的数据，在目标服务器上执行任意代码。CVSS评分9.8。

以weblogic10.3.6.0作为漏洞环境进行分析，我们通过IIOP协议向服务器发送反序列化数据后，可以在weblogic.iiop.MuxableSocketIIOP.dispatch的传入参数中看到我们传入的IIOP数据。

之后我们会在weblogic.rmi.internal.wls.WLSExecuteRequest类中的run()方法调用handleRequest()方法

在handleRequest()方法中，存在runAS()方法，可以通过其中的invoke()方法调用weblogic.rmi.cluster.ClusterableServerRef类中的invoke()方法。

通过此方法可以调用weblogic.corba.idl.CorbaServerRef类中的invoke()方法。

首先代码会判断链接是否存在，如果不存在，则直接抛出异常。之后会判断var4.getmethod()是否为空，如果为空，则调用delegate._invoke()方法。

由于var4的类型是bind_any()，且objectMethods中不要包括此类型，所以进入delegate._invoke()方法中。

由于bind_any对应的值为0，所以后续会进入case 0的代码分支中。

调用read_any()方法最终会进入weblogic.corba.idl.AnyImpl类中的read_value_internal()方法，并调用read_value()方法进行反序列化操作

在weblogic.iiop.IIOPInputStream.read_value()方法中，通过反射机制获取IIOP数据中传入的类的实例。

之后会调用weblogic.corba.utils.ValueHandlerImpl.readValueData()方法进行内容读取。

通过this.readObjectMethod.invoke()方法进入com.bea.core.repackaged.springframework.transaction.jta.JtaTransactionManager类中。

进入initUserTransactionAndTransactionManager()方法中，通过jndi寻址，加载远程服务器上的恶意文件，执行任意代码。

至此，攻击流程结束。

搭建weblogic 10.3.6.0漏洞环境，构造恶意的反序列化数据，通过IIOP发送到目标服务器，当目标服务器解析反序列化数据，会触发恶意代码执行，效果如图：

目前受影响的Weblogic版本：

WebLogic Server 10.3.6.0.0

WebLogic Server 12.1.3.0.0

WebLogic Server 12.2.1.3.0

WebLogic Server 12.2.1.4.0

1.官方已经针对此漏洞发布补丁，请受影响的用户参考以下链接安装补丁更新：https://www.oracle.com/security-alerts/cpujan2020.html

2.可通过关闭IIOP协议对此漏洞进行临时防御。操作如下：

在Weblogic控制台中，选择“服务”->”AdminServer”->”协议”，取消“启用IIOP”的勾选。并重启Weblogic项目，使配置生效。

【深信服下一代防火墙】可轻松防御此漏洞， 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则，可轻松抵御此高危风险。

【深信服云盾】已第一时间从云端自动更新防护规则，云盾用户无需操作，即可轻松、快速防御此高危风险。

【深信服安全感知平台】可检测利用该漏洞的攻击，实时告警，并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初，云端安全专家即对客户的网络环境进行漏洞扫描，保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户，检查并更新了客户防护设备的策略，确保客户防护设备可以防御此漏洞风险。

【深信服安全云眼】在漏洞爆发之初，已完成检测更新，对所有用户网站探测，保障用户安全。不清楚自身业务是否存在漏洞的用户，可注册信服云眼账号，获取30天免费安全体验。

注册地址：http://saas.sangfor.com.cn

【深信服云镜】在漏洞爆发第一时间即完成检测能力的发布，部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响，避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力，可以连接云端升级的用户可自动获得漏洞检测能力。