【漏洞预警】Oracle WebLogic 远程命令执行 0day（CVE-2019-2725补丁绕过）漏洞

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic是商业市场上主要的Java（J2EE）应用服务器软件（application server）之一，是世界上第一个成功商业化的J2EE应用服务器，具有可扩展性，快速开发，灵活，可靠性等优势。

深信服安全团队经过分析Oracle WebLogic 远程命令执行漏洞最新利用方式发现：

该漏洞的利用方式与官方 4 月修复的CVE-2019-2725漏洞利用方式极为相似，属于CVE-2019-2725漏洞的变形绕过，所以攻击可以绕过官方四月份发布的安全补丁，且该漏洞是由于应用在处理反序列化输入信息时存在缺陷，攻击者可以通过发送精心构造的恶意 HTTP 请求，用于获得目标服务器的权限，并在未授权的情况下执行远程命令，最终获取服务器的权限。针对漏洞的新的利用方式，官方暂时未发布补丁，所以强烈建议受到影响的用户尽快根据临时修补建议漏洞修补，以防服务器处于高风险之中。

深信服安全研究员通过攻击代码复现漏洞，确定该攻击可以绕过WebLogic 官方在四月份的补丁，复现情况如下：

目前据统计，在全球范围内对互联网开放WebLogic的资产数量多达35,894台，其中归属中国地区的受影响资产数量1万以上。

该漏洞是由于支持WebLogic的JDK部分版本存在缺陷导致，目前受影响的JDK版本以及WebLogic版本：

JDK<=1.6 且 Oracle WebLogic Server <= 10.3.6.0

由于官方暂未发布补丁，建议通过以下临时解决措施来化解漏洞导致风险:

1.建议客户针对服务器使用情况，删除以下两个文件并重启Weblogic服务:

wls9_async_response.war文件及相关文件夹

wls-wsat.war文件及相关文件夹

文件路径如下：

10.3.*版本：

Middlewarewlserver_10.3serverlib%DOMAIN_HOME%serversAdminServertmp_WL_internal%DOMAIN_HOME%serversAdminServertmp.internal

12.1.3版本：

MiddlewareOracle_Homeoracle_commonmodules%DOMAIN_HOME%serversAdminServertmp.internal%DOMAIN_HOME%serversAdminServertmp_WL_internal

2.通过访问限制配置来限制访问/_async/* 路径的请求。

3.及时升级Weblogic中的Java版本

深信服安全云眼在漏洞爆发之初，已完成检测更新，对所有用户网站探测，保障用户安全。不清楚自身业务是否存在漏洞的用户，可注册信服云眼账号，获取30天免费安全体验。

注册地址：http://saas.sangfor.com.cn

深信服云镜在漏洞爆发的第一时间就完成从云端下发本地检测更新，部署云镜的用户只需选择紧急漏洞检测，即可轻松、快速检测此高危风险。

深信服下一代防火墙已在13天前的IPS 20190603规则库版本可防御此漏洞攻击变形，部署深信服下一代防火墙的用户开启IPS防御模块，并确认规则库版本号，未更新此版本的用户尽快更新至 IPS 20190603，则可轻松抵御此高危风险。

深信服云盾已第一时间从云端自动更新防护规则，云盾用户无需操作，即可轻松、快速防御此高危风险。