温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

WebLogic远程代码执行漏洞CVE-2020-14645的示例分析

发布时间:2021-12-28 16:55:49 来源:亿速云 阅读:108 作者:柒染 栏目:安全技术

这篇文章将为大家详细讲解有关WebLogic远程代码执行漏洞CVE-2020-14645的示例分析,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。

漏洞概述:

Oracle官方发布WebLogic安全更新,其中修复了一个CVSS评分为9.8的严重漏洞(CVE-2020-14645),该漏洞通过T3协议和IIOP协议进行利用,攻击者可以实现远程代码执行,进而控制服务器。由于漏洞利用复杂度低,风险高,建议尽快修复。

发现过程:

腾讯蓝军(Tencent Force)在测试WebLogic历史漏洞时发现补丁修复不全面,Oracle Coherence存在绕过方式。

影响情况:

影响版本:Oracle WebLogic Server 12.2.1.4

利用条件:开放T3/IIOP协议默认即可被利用

影响数量:我们使用知道创宇ZoomEye快速检索发现有10万多个WebLogic服务在公网开放(中国约占五分之一),其中有一部分没禁用T3协议,ZoomEye网络空间搜索能力很好的让我们可以快速初步评估受影响量级。

自查方法:

WebLogic是Oracle公司出品的用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器,全球使用广泛。T3/IIOP协议与HTTP协议复用7001端口,默认同时开启。

我们可以通过Nmap检测自己资产是否有开放T3协议及WebLogic版本信息:

nmap -n -v -Pn –sV IP地址 -p 端口 --script=/usr/share/nmap/scripts/weblogic-t3-info.nse

 

PORT     STATE SERVICE

7001/tcp open  afs3-callback

|_weblogic-t3-info: T3 protocol in use (WebLogic version: 12.2.1.4)

通过控制台检测自己资产是否有开放IIOP协议及WebLogic版本信息:

WebLogic远程代码执行漏洞CVE-2020-14645的示例分析

漏洞利用:

WebLogic远程代码执行漏洞CVE-2020-14645的示例分析

规避方案:

1、安装官方补丁

https://www.oracle.com/security-alerts/cpujul2020.html 

2、限制T3访问来源

漏洞产生于WebLogic默认启用的T3协议,因此可通过限制T3访问来源来阻止攻击。

3、禁用IIOP协议

可以查看下面官方文章进行关闭IIOP协议。

https://docs.oracle.com/middleware/1213/wls/WLACH/taskhelp/channels/EnableAndConfigureIIOP.html

风险总结:

对于利用WebLogic T3/IIOP协议进行反序列化执行任意代码的问题,Oracle一直采用黑名单进行修复,只能防御已知的反序列化攻击链,而新的反序列化攻击链不断被挖掘出来,黑名单不断被绕过,建议务必限制T3访问来源以及关闭IIOP协议,减少攻击面。

目前腾讯的流量、主机、扫描器等安全系统已具备检测防护能力。

关于WebLogic远程代码执行漏洞CVE-2020-14645的示例分析就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI