北京时间4月18日凌晨,Oracle官方发布了4月份的关键补丁更新CPU(Critical Patch Update),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),该漏洞可以使远程攻击者可以在未授权的情况下远程执行代码,提升系统权限。危害等级严重。该#Weblogic#漏洞的相关的PoC已经开始流传,危害严重。白帽汇安全研究院提醒广大管理员,运维人员,站长及时进行修复。做好防范措施,以免受到不必要的损失。
概况
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
目前FOFA系统中全球范围内共有18120个Weblogic对外开放服务。中国使用数量最多,共有6162台,美国第二,共有3971台,荷兰第三,共有2433台,法国第四,共有489台,伊朗第五,共有407台。
全球范围内weblogic分布情况(仅为分布情况,非漏洞影响情况)
中国地区中北京市使用用数量最多,共有1331台;广东省第二,共有641台台,上海市第三,共有619台,江苏省第四,共有527台,浙江省第五,共有451台。
中国地区weblogic分布情况(仅为分布情况,非漏洞影响情况)
危害等级
严重
原理危害
漏洞利用通过Weblogic服务器开放的T3服务建立Socket连接,然后攻击者发送精心构造的数据包到服务端,从而导致造成反序列化命令执行。该漏洞危害严重,可导致远程攻击者获取服务器权限,造成服务器被完全控制,被拖库等危害。
影响
目前漏洞影响版本号包括:
Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.2
Weblogic 12.2.1.3
漏洞POC
FOFA客户端正在加紧录入相关PoC。
CVE编号
CVE-2018-2628
修复建议
1、安装补丁,用户可以通过http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html 连接中的信息安装补丁。
2、可临时通过限制T3协议的通信来防止漏洞被利用。
白帽汇会持续对该漏洞进行跟进。后续可以持续本链接。
参考
[1] http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
[2] 部分信息来源于内部社群。
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。