【漏洞预警】Oracle WebLogic 远程命令执行 0day(CVE-2019-2725补丁绕过)漏洞

admin 2022年7月1日10:43:28安全漏洞评论44 views2209字阅读7分21秒阅读模式

近日,深信服安全团队发现了在野的 Oracle WebLogic 远程命令执行漏洞最新利用方式,该漏洞的利用方式与官方 4 月修复的CVE-2019-2725漏洞利用方式极为相似,此攻击可以绕过官方四月份发布的安全补丁


该漏洞是由于应用在处理反序列化输入信息时存在缺陷,攻击者可以通过发送精心构造的恶意 HTTP 请求,获得目标服务器的权限,并在未授权的情况下执行远程命令,最终获取服务器的权限。

漏洞名称:Oracle WebLogic 远程命令执行 0day(CVE-2019-2725补丁绕过)漏洞

威胁等级高危

影响范围:JDK<=1.6 && Oracle WebLogic Server <= 10.3.6.0

漏洞类型:远程命令执行

利用难度:简单



WebLogic组件介绍


WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。


将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic是商业市场上主要的Java(J2EE)应用服务器软件(application server)之一,是世界上第一个成功商业化的J2EE应用服务器,具有可扩展性,快速开发,灵活,可靠性等优势。

 

漏洞描述


深信服安全团队经过分析Oracle WebLogic 远程命令执行漏洞最新利用方式发现:


该漏洞的利用方式与官方 4 月修复的CVE-2019-2725漏洞利用方式极为相似,属于CVE-2019-2725漏洞的变形绕过,所以攻击可以绕过官方四月份发布的安全补丁,且该漏洞是由于应用在处理反序列化输入信息时存在缺陷,攻击者可以通过发送精心构造的恶意 HTTP 请求,用于获得目标服务器的权限,并在未授权的情况下执行远程命令,最终获取服务器的权限。针对漏洞的新的利用方式,官方暂时未发布补丁,所以强烈建议受到影响的用户尽快根据临时修补建议漏洞修补,以防服务器处于高风险之中。


漏洞复现


深信服安全研究员通过攻击代码复现漏洞,确定该攻击可以绕过WebLogic 官方在四月份的补丁,复现情况如下:

【漏洞预警】Oracle WebLogic 远程命令执行 0day(CVE-2019-2725补丁绕过)漏洞


影响范围


目前据统计,在全球范围内对互联网开放WebLogic的资产数量多达35,894台,其中归属中国地区的受影响资产数量1万以上

 

该漏洞是由于支持WebLogic的JDK部分版本存在缺陷导致,目前受影响的JDK版本以及WebLogic版本:

JDK<=1.6 且 Oracle WebLogic Server <= 10.3.6.0

   

临时修复建议


由于官方暂未发布补丁,建议通过以下临时解决措施来化解漏洞导致风险:


1.建议客户针对服务器使用情况,删除以下两个文件并重启Weblogic服务:


wls9_async_response.war文件及相关文件夹

wls-wsat.war文件及相关文件夹

文件路径如下:

10.3.*版本:

Middlewarewlserver_10.3serverlib%DOMAIN_HOME%serversAdminServertmp_WL_internal%DOMAIN_HOME%serversAdminServertmp.internal

12.1.3版本:

MiddlewareOracle_Homeoracle_commonmodules%DOMAIN_HOME%serversAdminServertmp.internal%DOMAIN_HOME%serversAdminServertmp_WL_internal

2.通过访问限制配置来限制访问/_async/* 路径的请求。

3.及时升级Weblogic中的Java版本

 

深信服解决方案


深信服安全云眼在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。


注册地址:http://saas.sangfor.com.cn


深信服云镜在漏洞爆发的第一时间就完成从云端下发本地检测更新,部署云镜的用户只需选择紧急漏洞检测,即可轻松、快速检测此高危风险。


深信服下一代防火墙已在13天前的IPS 20190603规则库版本可防御此漏洞攻击变形,部署深信服下一代防火墙的用户开启IPS防御模块,并确认规则库版本号,未更新此版本的用户尽快更新至 IPS 20190603,则可轻松抵御此高危风险。


深信服云盾已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。

 

时间轴


2019/04/17 

CNVD安全公告中披露了一则WebLogic wls-async 反序列化远程命令执行漏洞(CNVD-C-2019-48814)

2019/04/22

深信服千里目安全实验室分析并复现该漏洞,发布漏洞预警以及产品解决方案

2019/06/03

深信服安全团队发现Oracle WebLogic 远程命令执行 0day漏洞的在野利用方式,复现分析并发布预警以及解决方案

2019/06/15   

深信服千里目安全实验室发现捕获到的多种变形攻击有蔓延趋势,发布二次预警




原文始发于微信公众号(深信服千里目安全实验室):【漏洞预警】Oracle WebLogic 远程命令执行 0day(CVE-2019-2725补丁绕过)漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月1日10:43:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞预警】Oracle WebLogic 远程命令执行 0day(CVE-2019-2725补丁绕过)漏洞 http://cn-sec.com/archives/785920.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: