CVE-2020-2883漏洞复现

简介

在Oracle官方发布的2020年4月关键补丁更新公告CPU（Critical Patch Update）中，两个针对 WebLogic Server ，CVSS 3.0评分为 9.8的严重漏洞（CVE-2020-2883、CVE-2020-2884），允许未经身份验证的攻击者通过T3协议网络访问并破坏易受攻击的WebLogic Server，成功的漏洞利用可导致WebLogic Server被攻击者接管，从而造成远程代码执行。

影响版本

· Oracle WebLogic Server 10.3.6.0.0

· Oracle WebLogic Server 12.1.3.0.0

· Oracle WebLogic Server 12.2.1.3.0

· Oracle WebLogic Server 12.2.1.4.0

环境搭建

java -jar fmw_12.1.3.0.0_wls.jar

我这里使用得是12.1.3.0.0

选择第三个选项，其他默认

远程检查

  Nmap工具提供了Weblogic T3协议的扫描脚本，可探测开启T3服务的Weblogic主机。命令如下：

nmap -n -v -Pn -sV ip -p7001,7002 --script=weblogic-t3-info.nse

目标开启了T3协议且Weblogic版本在受影响范围之内，如果相关人员没有安装官方的安全补丁，则存在漏洞风险。

漏洞复现

Your-IP:7001/console打开网站即可

Poc地址：https://github.com/zhzyker/exphub

py -2 cve-2020-2883_cmd.py -u http://192.168.111.131:7001/ -c calc

执行脚本，返回计算器

修复建议

1、补丁升级

      Oracle目前已发布补丁修复了上述漏洞，请用户参考官方通告及时下载受影响产品更新补丁，并参照补丁安装包中的readme文件进行安装更新，以保证长期有效的防护。

登录Oracle用户账号登录

https://support.oracle.com后，可以下载最新补丁。

2、临时修复

如果用户暂时无法安装更新补丁，可通过下列措施对漏洞进行临时防护：

用户可通过控制T3协议的访问来临时阻断针对利用T3协议漏洞的攻击。Weblogic Server 提供了名为

weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器，此连接筛选器接受所有传入连接，可通过此连接筛选器配置规则，对T3及T3s协议进行访问控制，详细操作步骤如下：

进入Weblogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

 在连接筛选器中输入：

weblogic.security.net.ConnectionFilterImpl，参考以下写法，在连接筛选器规则中配置符合企业实际情况的规则：

127.0.0.1 * * allow t3 t3s
本机IP * * allow t3 t3s
允许访问的IP  * * allow t3 t3s
* * * deny t3 t3s

连接筛选器规则格式如下：

target localAddress localPort action protocols

其中：

· target 指定一个或多个要筛选的服务器。

· localAddress 可定义服务器的主机地址。(如果指定为一个星号 (*)，则返回的匹配结果将是所有本地 IP 地址。)

· localPort 定义服务器正在监听的端口。(如果指定了星号，则匹配返回的结果将是服务器上所有可用的端口)。

· action 指定要执行的操作。(值必须为“allow”或“deny”。)

·protocols是要进行匹配的协议名列表。(必须指定下列其中一个议：http、https、t3、t3s、giop、giops、dcom 或 ftp。) 如果未定义协议，则所有协议都将与一个规则匹配。

最后保存重启即可生效