Oracle WebLogic 远程命令执行 0day(CVE-2019-2725补丁绕过)漏洞预警

  • 来源:深信服安全中心
  • 发布时间:2019-06-17
#

事件描述

WebLogic组件介绍

将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic是商业市场上主要的Java(J2EE)应用服务器软件(application server)之一,是世界上第一个成功商业化的J2EE应用服务器,具有可扩展性,快速开发,灵活,可靠性等优势。

 漏洞描述

深信服安全团队经过分析Oracle WebLogic 远程命令执行漏洞最新利用方式发现,该漏洞的利用方式与官方 4 月修复的CVE-2019-2725漏洞利用方式极为相似,属于CVE-2019-2725漏洞的变形绕过,所以攻击可以绕过官方四月份发布的安全补丁,且该漏洞是由于应用在处理反序列化输入信息时存在缺陷,攻击者可以通过发送精心构造的恶意 HTTP 请求,用于获得目标服务器的权限,并在未授权的情况下执行远程命令,最终获取服务器的权限。针对漏洞的新的利用方式,官方暂时未发布补丁,所以强烈建议受到影响的用户尽快根据临时修补建议漏洞修补,以防服务器处于高风险之中。

漏洞复现

图片1.png

 影响范围

该漏洞是由于支持WebLogic的JDK部分版本存在缺陷导致,目前受影响的JDK版本以及WebLogic版本:

JDK<=1.6 且 Oracle WebLogic Server <= 10.3.6.0

解决方案

临时修复建议

由于官方暂未发布补丁,建议通过以下临时解决措施来化解漏洞导致风险:

wls9_async_response.war文件及相关文件夹

文件路径如下:

\Middleware\wlserver_10.3\server\lib\
%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

\Middleware\Oracle_Home\oracle_common\modules\
%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

3.及时升级Weblogic中的Java版本