发布时间:2019-06-18 13:46:48,来源:中国信息通信研究院
6月18日,工业和信息化部网络安全威胁信息共享平台收到关于Weblogic最新反序列化远程命令执行漏洞的威胁情报。攻击者利用该漏洞,可以在未授权的情况下远程执行命令,且该漏洞可以绕过最新Weblogic补丁(CVE-2019-2725)。目前Oracle官方暂未发布补丁,漏洞细节未公开。
一、 Weblogic反序列化远程命令执行漏洞情况概述
攻击者首先利用该漏洞先对2019年4月Weblogic补丁CVE-2019-2725的绕过,再利用Weblogic反序列化远程代码执行漏洞(CNVD-C-2019-48814),未授权的情况下发送经过精心构造的恶意HTTP请求,获取到服务器的权限,进行远程代码执行。由于该漏洞主要是由于支持Weblogic的JDK版本存在缺陷而导致攻击者可以绕过补丁在远程执行任意命令。
二、Weblogic反序列化远程命令执行漏洞影响范围及处置情况
据悉,全球共有2万6千余个开放的weblogic服务。我国大约有6千余个开放的weblogic服务,约占全球总量的30%。我国使用weblogic的人数众多,其中包含一些重要单位。所以采取下方的临时修复方案进行应急防范工作尤为重要。
漏洞影响的产品版本包括:
WebLogic 10.X
WebLogic 12.1.3
截止目前官方未发布相关补丁。为了尽快消除安全风险,中国信息通信研究院将进一步严密监测该漏洞发展态势,发出安全提示警示并指导相关用户尽快修复相关问题。
三、漏洞修复建议
目前,Oracle官方暂未发布补丁,临时解决方案如下:
1、通过访问策略控制禁止 /_async/跟/wls-wsat/ 路径的URL访问。
2、删除 wls9_async_response.war 与 wls-wsat.war 文件及相关文件夹,并重启 Weblogic 服务。进行删除操作可能造成未知后果,请谨慎操作。 需要删除的文件路径如下:
10.3.*版本路径:
\Middleware\wlserver_10.3\server\lib\
%DOMAIN_HOME%\servers\AdminServer\tmp_WL_internal\ %DOMAIN_HOME%\servers\AdminServer\tmp.internal\
12.1.3 版本路径:
\Middleware\Oracle_Home\oracle_common\modules\
%DOMAIN_HOME%\servers\AdminServer\tmp.internal\
%DOMAIN_HOME%\servers\AdminServer\tmp_WL_internal\