【漏洞通告】Oracle WebLogic Server多个组件漏洞安全风险通告

2022年4月20日，嘉诚安全监测到Oracle官方发布了4月的关键安全补丁集合更新CPU（CriticalPatch Update），修复了多个存在于WebLogic中的漏洞，漏洞编号包括：CVE-2022-23305、CVE-2022-21420、CVE-2022-21441、CVE-2022-23437、CVE-2022-21453、CVE-2021-41184。

Oracle WebLogic Server是一个统一的可扩展平台，专用于开发、部署和运行Java 应用等适用于本地环境和云环境的企业应用。它提供了一种强健、成熟和可扩展的 Java Enterprise Edition (EE) 和 Jakarta EE 实施方式。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

经研判以下漏洞影响较大

1.CVE-2022-23305

Oracle WebLogic Server远程代码执行漏洞：Oracle Fusion Middleware的Oracle WebLogic  Server中引用了第三方依赖Apache Log4j，允许未经身份验证的攻击者通过 HTTP 访问服务器，成功利用此漏洞可导致Oracle WebLogic Server 被接管。

2.CVE-2022-21420

Oracle Coherence远程代码执行漏洞：该漏洞允许未经身份验证的攻击者通过 T3 访问服务器来破坏 Oracle Coherence，成功利用此漏洞可接管Oracle Coherence。

3.CVE-2022-21441

Oracle WebLogic Server拒绝服务漏洞：该漏洞允许未经身份验证的攻击者通过 T3/IIOP 访问服务器来攻击 Oracle WebLogic Server，成功利用此漏洞可能会导致Oracle WebLogic Server 挂起或DOS。

4.CVE-2022-23437

Oracle WebLogic Server拒绝服务漏洞：Oracle Fusion Middleware的Oracle WebLogic Server 中引用了第三方工具 Apache Xerces-J，允许未经身份验证的攻击者通过 HTTP 访问来攻击Oracle WebLogic Server，此攻击需要与受害者进行交互，成功利用此漏洞可能会导致Oracle WebLogic Server挂起或DOS。

5.CVE-2022-21453

Oracle WebLogic Server身份验证绕过漏洞：该漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，成功攻击此漏洞可导致对某些 Oracle WebLogic Server 可访问数据进行未经授权的更新、插入或删除访问，以及对Oracle WebLogic Server 可访问数据的子集进行未经授权的读取访问。

6.CVE-2021-41184

Oracle WebLogic Server身份验证绕过漏洞：该漏洞允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server，此攻击需要与受害者进行交互，此漏洞可能会影响其他产品，成功利用此漏洞可能导致对某些Oracle WebLogic Server 可访问数据的未授权更新、插入或删除。

通用修复建议：

根据影响版本中的信息，厂商已发布补丁修复漏洞，下载链接请参考：

https://www.oracle.com/security-alerts/cpuapr2022.html

1.禁用T3协议：

 1）进入WebLogic控制台，在base_domain配置页面中，进入安全选项卡页面，点击筛选器，配置筛选器。

 2）在连接筛选器中输入：

weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则框中输入7001 deny t3 t3s保存生效。

 3）重启Weblogic项目，使配置生效。

2.禁用IIOP协议：

用户可通过关闭IIOP协议阻断针对利用IIOP协议漏洞的攻击，操作如下：

在WebLogic控制台中，选择“服务”->”AdminServer”->”协议”，取消“启用IIOP”的勾选。并重启WebLogic项目，使配置生效。