温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

Oracle Weblogic Server Java反序列化漏洞(CVE-2018-2628)修复指南

发布时间:2020-08-09 22:36:52 来源:ITPUB博客 阅读:430 作者:edge_dba 栏目:关系型数据库

WebLogic序列化漏洞CVE-2018-2628安全预警

 

TAG

Oracle WebLogicCVE-2018-2628、反序列化

关注级别

红,此漏洞利用简单,可直接获取系统控制权限,存在被攻击者挖矿利用的可能性

发布日期

2018-4-18

版本

V1.0

 

 一.      漏洞概述

北京时间418日凌晨,Oracle官方发布了4月份的关键补丁更新CPUCritical Patch Update,其中包含一个高危的远程代码执行漏洞(CVE-2018-2628),通过该漏洞,攻击者可以在未授权的情况下远程执行任意代码。

CVSS 评分:9.8CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

二.      影响范围

受影响的版本

l  Weblogic 10.3.6.0

l  Weblogic 12.1.3.0

l  Weblogic 12.2.1.2

l  Weblogic 12.2.1.3

以上均为官方支持的版本

 

三.      漏洞防护

若通过Nginx/Apache配置反向代理的方式访问Weblogic应用,就限制了Weblogic T3的直接访问,此漏洞也将不能直接被利用。

3.1         补丁修复

官方在4月份发布的关键补丁更新中已对此漏洞进行了修复。可参考链接:

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

补丁更新操作可参考链接:

https://docs.oracle.com/middleware/12213/lcm/OPATC/GUID-56D6728D-5EDC-482B-B2E4-DDB20A64FA32.htm#OPATC143

 

可以通过升级weblogic对应补丁的方法进行漏洞修复。

3.2         推荐配置黑名单解决方案

可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。WebLogic Server 提供了名为 weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器,此连接筛选器接受所有传入连接,可通过此连接筛选器配置规则,对t3t3s协议进行访问控制,详细操作步骤如下:

1.      进入Weblogic控制台,在base_domain的配置页面中,进入安全选项卡页面,点击筛选器,进入连接筛选器配置。

2.      在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:* * 7001 deny t3 t3s

Oracle Weblogic Server Java反序列化漏洞(CVE-2018-2628)修复指南

连接筛选器内容输入:

127.0.0.1 * 7001 allow

192.168.1.100 * 7001 allow

* * 7001 deny t3 t3s

* * 8080 deny t3 t3s

说明:

配置的目的是,仅允许服务器自己及集群内的服务器通过t3协议连接此服务器。禁止来自于其他IP地址的通过t3t3s协议连接相应的端口。

假定:控制台端口为7001192.168.1.100 为服务器的真实IP地址,如有集群内的服务器通过控制台端口互访,也需要增加上相应的IP地址,8080为应用服务端口。

如果配置错误,可能导致服务启动失败。如果服务启动失败,可以修改config/config.xml文件内容,恢复或修正配置。

 

3.      保存规则之后激活更改。

Oracle Weblogic Server Java反序列化漏洞(CVE-2018-2628)修复指南

 

Oracle Weblogic Server Java反序列化漏洞(CVE-2018-2628)修复指南

 

连接筛选器规则格式如:target localAddress localPort action protocols,其中:

l   target 指定一个或多个要筛选的服务器。

l   localAddress 可定义服务器的主机地址。(如果指定为一个星号 (*),则返回的匹配结果将是所有本地 IP 地址。)

l   localPort 定义服务器正在监听的端口。(如果指定了星号,则匹配返回的结果将是服务器上所有可用的端口)

l   action 指定要执行的操作。(值必须为“allow”“deny”)

l  protocols 是要进行匹配的协议名列表。(必须指定下列其中一个协议:httphttpst3t3sgiopgiopsdcom ftp) 如果未定义协议,则所有协议都将与一个规则匹配。

 

4.      重启服务。

 

single:/home/oracle@db> ps -ef | grep weblogic

root      5038  5012  0 10:00 pts/2    00:00:00 su - weblogic

weblogic  5039  5038  0 10:00 pts/2    00:00:00 -bash

weblogic  5623  5039  0 10:41 pts/2    00:00:00 /bin/sh ./startWebLogic.sh

weblogic  5624  5623  0 10:41 pts/2    00:00:00 /bin/sh /weblogic/Oracle/Middleware/user_projects/domains/weblogic/bin/startWebLogic.sh

weblogic  5674  5624 99 10:42 pts/2    00:00:31 /usr/java/jdk1.8.0_20/bin/java -server -Xms256m -Xmx512m -XX:MaxPermSize=256m -Dweblogic.Name=AdminServer -Djava.security.policy=/weblogic/Oracle/Middleware/wlserver_10.3/server/lib/weblogic.policy -Dweblogic.ProductionModeEnabled=true -da -Dplatform.home=/weblogic/Oracle/Middleware/wlserver_10.3 -Dwls.home=/weblogic/Oracle/Middleware/wlserver_10.3/server -Dweblogic.home=/weblogic/Oracle/Middleware/wlserver_10.3/server -Dweblogic.management.discover=true -Dwlw.iterativeDev=false -Dwlw.testConsole=false -Dwlw.logErrorsToConsole=false -Dweblogic.ext.dirs=/weblogic/Oracle/Middleware/patch_wls1036/profiles/default/sysext_manifest_classpath:/weblogic/Oracle/Middleware/patch_ocp371/profiles/default/sysext_manifest_classpath -Dweblogic.management.username=weblogic -Dweblogic.management.password=weblogic_123 weblogic.Server

root      5716  4743  0 10:42 pts/1    00:00:00 grep weblogic

single:/home/oracle@db> kill -9 5674

single:/home/oracle@db> su - weblogic

single:/weblogic/Oracle/Middleware/user_projects/domains/weblogic@weblogic> nohup ./startWebLogic.sh &

[1] 5835

single:/weblogic/Oracle/Middleware/user_projects/domains/weblogic@weblogic> nohup: ignoring input and appending output to `nohup.out'

single:/weblogic/Oracle/Middleware/user_projects/domains/weblogic@weblogic>

 

通过配置黑名单的方式也可以解决这个问题。

四.      漏洞影响排查

4.1         版本检查

使用如下命令对WebLogic版本进行排查

$ cd /lopt/bea92sp2/weblogic92/server/lib

$ java -cp weblogic.jar weblogic.version

此漏洞影响到Oracle官方现支持的所有版本,使用Weblogic中间件的企业还需检测是否对互联网开放了Weblogic端口(默认为7001端口和7002端口),如果Weblogic T3服务可被远程访问。则存在漏洞风险,请受影响的用户及时进行加固。漏洞利用排查

Weblogic中间件受到攻击时,会报出类转换异常,并在AdminServer.log日志中输出异常信息。因此,通过查看AdminServer.log文件,可以判断Weblogic服务器是否有被此漏洞利用的情况。

AdminServer.log存放的位置为:

\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain\servers\AdminServer\logs\AdminServer.log


向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI