简介
在Oracle官方发布的2020年4月关键补丁更新公告CPU(Critical Patch Update)中,两个针对 WebLogic Server ,CVSS 3.0评分为 9.8的严重漏洞(CVE-2020-2883、CVE-2020-2884),允许未经身份验证的攻击者通过T3协议网络访问并破坏易受攻击的WebLogic Server,成功的漏洞利用可导致WebLogic Server被攻击者接管,从而造成远程代码执行。
影响版本
· Oracle WebLogic Server 10.3.6.0.0
· Oracle WebLogic Server 12.1.3.0.0
· Oracle WebLogic Server 12.2.1.3.0
· Oracle WebLogic Server 12.2.1.4.0
环境搭建
java -jar fmw_12.1.3.0.0_wls.jar
我这里使用得是12.1.3.0.0
选择第三个选项,其他默认
远程检查
Nmap工具提供了Weblogic T3协议的扫描脚本,可探测开启T3服务的Weblogic主机。命令如下:
nmap -n -v -Pn -sV ip -p7001,7002 --script=weblogic-t3-info.nse
目标开启了T3协议且Weblogic版本在受影响范围之内,如果相关人员没有安装官方的安全补丁,则存在漏洞风险。
漏洞复现
Your-IP:7001/console打开网站即可
Poc地址:https://github.com/zhzyker/exphub
py -2 cve-2020-2883_cmd.py -u http://192.168.111.131:7001/ -c calc执行脚本,返回计算器
修复建议
1、补丁升级
Oracle目前已发布补丁修复了上述漏洞,请用户参考官方通告及时下载受影响产品更新补丁,并参照补丁安装包中的readme文件进行安装更新,以保证长期有效的防护。
登录Oracle用户账号登录
https://support.oracle.com后,可以下载最新补丁。
2、临时修复
如果用户暂时无法安装更新补丁,可通过下列措施对漏洞进行临时防护:
用户可通过控制T3协议的访问来临时阻断针对利用T3协议漏洞的攻击。Weblogic Server 提供了名为
weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器,此连接筛选器接受所有传入连接,可通过此连接筛选器配置规则,对T3及T3s协议进行访问控制,详细操作步骤如下:
进入Weblogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。
在连接筛选器中输入:
weblogic.security.net.ConnectionFilterImpl,参考以下写法,在连接筛选器规则中配置符合企业实际情况的规则:
127.0.0.1 * * allow t3 t3s本机IP * * allow t3 t3s允许访问的IP * * allow t3 t3s* * * deny t3 t3s
连接筛选器规则格式如下:
target localAddress localPort action protocols其中:
· target 指定一个或多个要筛选的服务器。
· localAddress 可定义服务器的主机地址。(如果指定为一个星号 (*),则返回的匹配结果将是所有本地 IP 地址。)
· localPort 定义服务器正在监听的端口。(如果指定了星号,则匹配返回的结果将是服务器上所有可用的端口)。
· action 指定要执行的操作。(值必须为“allow”或“deny”。)
·protocols是要进行匹配的协议名列表。(必须指定下列其中一个议:http、https、t3、t3s、giop、giops、dcom 或 ftp。) 如果未定义协议,则所有协议都将与一个规则匹配。
最后保存重启即可生效
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论