为了应对日新月异的攻击手段以及第三方外采系统、老旧业务系统防护难等问题,很多客户选择边界无限为Web应用套上“靖云甲”,该方案基于应用运行时自防护——RASP技术,专门针对应用和Java中间件进行重点防御,给用户的应用增加最后一道防线,使其免受应用层的0day漏洞和内存马攻击。
近期在某金融行业客户的现场,靖云甲ADR捕获到了反序列化与命令执行相关的攻击告警,最初我们认为是一个常见的漏洞利用告警,但是随着排查并深入分析告警信息,其攻击执行是通过Weblogic IIOP协议的反序列化漏洞进行操作的,并且从调用链来看攻击者挖掘到了新的漏洞利用入口,攻击手法可无视官方最新提供的反序列化黑名单,最终可利用该漏洞实现远程代码执行。
目前靖云甲ADR已经协助用户捕获了相关Weblogic漏洞利用。目前近期部署的靖云甲ADR工具无需升级便可检测和防御该漏洞的利用,用户可部署靖云甲ADR来防御该漏洞的攻击。
图一 反序列化漏洞利用告警
图二 远程命令执行告警
原文始发于微信公众号(边界无限):靖云甲ADR捕获WebLogic远程代码执行0day漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论