1. 程式人生 > >WebLogic Server再曝高風險遠端命令執行0day漏洞,阿里雲WAF支援免費應急服務

WebLogic Server再曝高風險遠端命令執行0day漏洞,阿里雲WAF支援免費應急服務

6月11日,阿里雲安全團隊發現WebLogic CVE-2019-2725補丁繞過的0day漏洞,並第一時間上報Oracle官方, 6月12日獲得Oracle官方確認。由於Oracle尚未釋出官方補丁,漏洞細節和真實PoC也未公開,為保障客戶的安全性,阿里雲Web應用防火牆(WAF)緊急更新規則,已實現對該漏洞的預設防禦。

一、漏洞簡介

WebLogic Server是美國甲骨文(Oracle)公司開發的一款適用於雲環境和傳統環境的應用服務中介軟體,被廣泛應用於保險、證券、銀行等金融領域。

此次發現的WebLogic CVE-2019-2725補丁繞過的0day漏洞曾經因為使用HTTP協議,而非T3協議,被黑客利用進行大規模的挖礦等行為。WebLogic 10.X和WebLogic 12.1.3兩個版本均受到影響。

鑑於該漏洞的高危嚴重性,阿里雲提醒雲上客戶高度關注自身業務是否使用WebLogic,是否開放了/_async/ 及 /wls-wsat/的訪問路徑。另外由於公安部護網期間,請護網客戶重點關注。

二、WebLogic Server漏洞發現

阿里雲安全團隊使用Oracle官方JDK8u211版本,並打了其在4月份提供的CVE-2019-2725的補丁,進行測試,發現了該漏洞的存在。由於WebLogic Server的廣泛應用,可見該漏洞影響之大。

漏洞攻擊演示

該漏洞利用JDK1.7及以上版本的JDK特性繞過了CVE-2019-2725補丁裡對XMLDecoder標籤的限制,以下是CVE-2019-2725的補丁針對class標籤的過濾

三、安全建議

由於Oracle官方暫未釋出補丁,阿里雲安全團隊給出如下解決方案:

1.請使用WebLogic Server構建網站的資訊系統運營者進行自查,發現存在漏洞後,立即刪除受影響的兩個war包,並重啟WebLogic服務;
2.因為受影響的兩個war包覆蓋的路由較多,如下圖所示,所以建議通過策略禁止 /_async/ 及 /wls-wsat/ 路徑的URL訪問;


wls-wsat.war的路由

bea_wls9_async_response.war的路由

3.接入阿里雲WAF,對接入網站進行該漏洞的預設防護,避免造成更大的損失。
若您監測到該漏洞,可以掃描下方二維碼,加入應急支援群,我們將為您提供24小時免費應急服務,為您進行漏洞處置爭取時間。

 

原文連結
本文為雲棲社群原創內容,未經