漏洞公告
近日,安恒信息CERT监测到Oracle官方发布了安全公告,修复了Weblogic远程代码执行漏洞(CVE-2023-21931)。该漏洞允许未经身份验证的远程攻击者通过T3进行网络访问来破坏Oracle WebLogic Server。此漏洞成功攻击可能导致对关键数据的未授权访问或对所有 Oracle WebLogic Server 可访问数据的完全访问,最终可导致任意代码执行。目前漏洞细节已公开,官方已发布安全更新,建议受影响的用户尽快采取安全措施。
参考链接:
漏洞风险矩阵参考(直接筛选CVE编号查询简约漏洞描述):
Oracle历史安全漏洞公告参考:
https://www.oracle.com/security-alerts/
一
影响范围
受影响版本:
WebLogic 12.2.1.3.0
WebLogic 12.2.1.4.0
WebLogic 14.1.1.0.0
二
漏洞描述
| 细节是否公开 | POC状态 | EXP状态 | 在野利用 |
| 是 | 未公开 | 未公开 | 未发现 |
安恒信息CERT已验证Weblogic远程代码执行漏洞(CVE-2023-21931)的可利用性:
三
漏洞检测
本地检测:
T3协议探测:
Nmap工具提供了Weblogic T3协议的扫描脚本,名称为weblogic-t3-info.nse。使用方式如下图所示:
四
缓解措施
高危:目前漏洞细节和测试代码已公开,建议受影响用户及时升级至安全版本。
官方建议:
1、目前官方已发布安全补丁,建议受影响的用户及时应用补丁。
参考链接:
https://www.oracle.com/security-alerts/cpuapr2023.html
临时缓解措施:
1、针对T3协议的临时缓解加固措施
使用连接筛选器临时阻止外部访问7001端口的T3/T3s协议:
连接筛选器:weblogic.security.net.ConnectionFilterImpl
0.0.0.0/0 * 7001 deny t3 t3s #拒绝所有访问
192.168.1.0/24 * 7001 allow t3 t3s #允许指定IP段访问
192.168.2.0/24 * 7001 deny t3 t3s #拒绝指定IP段访问
https://docs.oracle.com/cd/E24329_01/web.1211/e24485/con_filtr.htm#SCPRG377
2、禁用IIOP协议
在Weblogic控制台中,选择“base_domain”->“监视”进入“AdminServer”-> “协议”->“IIOP”中,取消“启用IIOP”的勾选。并重启Weblogic项目,使配置生效。
安恒信息CERT
2023年4月
原文始发于微信公众号(安恒信息CERT):Weblogic远程代码执行漏洞(CVE-2023-21931)风险提示
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论