CVE-2024-20767 和 CVE-2024-21216 的补救措施：保护自己免受最近两个可在野外利用的严重漏洞的侵害

CVE-2024-20767- ColdFusion 路径遍历可能导致读取重要数据

CVE-2024-20767是 ColdFusion 版本 2023.6、2021.12 及更早版本中的一个漏洞。这些版本受到不当访问控制漏洞的影响，可能允许任意文件系统读取。攻击者可以利用此漏洞绕过安全措施，未经授权访问敏感文件，并执行任意文件系统写入。利用此问题不需要用户交互。该漏洞的 CVSS 评分很高，因此对易受此漏洞影响的资产构成重大风险。

根据Fofa搜索引擎，全球有超过 145,000 个使用ColdFusion 的公共应用程序

并且，其中一些人让管理面板保持可访问状态，而上面的错误可能会利用这一点，因为根本原因是管理功能端点

攻击者可以轻松利用任何公开的漏洞，如以下示例

转到安全部分，然后允许 IP 地址并添加仅允许使用管理面板的本地 IP，此操作将限制可以使用管理功能的人员，以避免泄露 uuid，这对于ColdFusion安全流程中的特权非常重要

正如我们所看到的，应用更改后，我们现在无法利用目标，因为访问限制 

CVE-2024-21216 – Weblogic 未经身份验证的 RCE

CVE-2024-21216是 Oracle Fusion Middleware（组件：Core）的 Oracle WebLogic Server 产品中的一个漏洞。受影响的受支持版本包括 12.2.1.4.0 和 14.1.1.0.0。这个易于利用的漏洞允许未经身份验证的攻击者通过T3和IIOP获得网络访问权限，从而入侵 Oracle WebLogic Server。成功利用此漏洞可导致 Oracle WebLogic Server 被接管。CVSS 基本评分为 9.8，非常严重。

PoC 尚未发布，但为了避免WebLogic服务器被接管，如下图所示，Nmap 扫描附带了一个 Weblogic 版本

要管理网络连接我们需要使用weblogic.security.net.ConnectionFilterImpl 来过滤对 T3 的访问

通过根据环境应用以下网络规则，它将限制对公共连接的访问以访问T3协议，以避免受到攻击

127.0.0.1 * * allow t3 t3s # 允许从本地主机访问 T3/T3s

<local_IP> * * allow t3 t3s # 允许从本地 IP 进行 T3/T3s 访问

<allowed_IP> * * allow t3 t3s # 允许来自特定受信任 IP 的 T3/T3s 访问

* * * 拒绝 t3 t3s # 拒绝所有其他 T3/T3s 访问

要禁用IIOP，请转到服务器，然后转到AdminServer（admin）配置

然后，转到“协议”，选择“IIOP” ，然后取消选中“启用 IIOP”以禁用此协议

然后通过运行./StopWeblogic.sh保存并重新启动 Weblogic，然后使用./StartWeblogic.sh重新启动它

再次运行 Nmap 扫描，结果显示握手失败，这是由于T3协议 的限制

推荐

始终建议应用官方补丁。然而，在大型环境中，立即应用补丁可能不可行。在这篇博文中，我们的目标是手动限制漏洞风险，而不修补应用程序。请记住，这些缓解措施可能会限制访问并禁用应用程序中的某些功能

参考

https://helpx.adobe.com/security/products/coldfusion/apsb24-14.html

https://docs.oracle.com/middleware/11119/wls/WLAPI/weblogic/security/net/ConnectionFilterImpl.html