Oracle WebLogic 远程命令执行(CVE-2019-2729)漏洞预警

  • 来源:深信服安全中心
  • 发布时间:2019-06-25
#

事件描述

WebLogic组件介绍

WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic是商业市场上主要的Java(J2EE)应用服务器软件(application server)之一,是世界上第一个成功商业化的J2EE应用服务器,具有可扩展性,快速开发,灵活,可靠性等优势。

漏洞描述

CVE-2019-2729漏洞是对CVE-2019-2725漏洞补丁进行绕过,形成新的漏洞利用方式,属于CVE-2019-2725漏洞的变形绕过。与CVE-2019-2725漏洞相似,CVE-2019-2729漏洞是由于应用在处理反序列化输入信息时存在缺陷,攻击者可以通过发送精心构造的恶意 HTTP 请求,用于获得目标服务器的权限,并在未授权的情况下执行远程命令,最终获取服务器的权限。针对此漏洞,官方已经发布补丁,所以强烈建议受到影响的用户尽快下载官方最新补丁,以防服务器处于高风险之中。

影响范围

目前据统计,在全球范围内对互联网开放WebLogic的资产数量多达35,894台,其中归属中国地区的受影响资产数量1万以上。

目前受影响的WebLogic版本:

Oracle WebLogic 10.3.6

Oracle WebLogic 12.1.3  

Oracle WebLogic 12.2.1.3   

时间轴

2019/04/17  CNVD安全公告中披露了一则WebLogic wls-async 反序列化远程命令执行漏洞(CNVD-C-2019-48814,CVE-2019-2725)。

2019/04/22  深信服千里目安全实验室分析并复现该漏洞,发布漏洞预警以及产品解决方案。

2019/06/03  深信服安全团队发现Oracle WebLogic 远程命令执行 0day漏洞的在野利用方式,复现分析并发布预警以及解决方案。

2019/06/15   深信服千里目安全实验室发现捕获到的多种变形攻击有蔓延趋势,发布二次预警。

2019/06/18   Oracle官方安全公告中披露了CVE-2019-2729 WebLogic 远程命令执行漏洞并发布了补丁。

2019/06/19   深信服千里目安全实验室对CVE-2019-2729漏洞发布漏洞预警。

解决方案

产品解决方案

深信服安全云在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。

注册地址:

http://saas.sangfor.com.cn

深信服云镜在漏洞爆发的第一时间就完成从云端下发本地检测更新,部署云镜的用户只需选择紧急漏洞检测,即可轻松、快速检测此高危风险。

深信服下一代防火墙可轻松防御此漏洞,建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。

深信服云盾已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。

修复建议

Oracle官方已经在关键补丁更新(CPU)中修复了该漏洞(相关链接:https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html),请受影响用户及时前往下载,Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。

除此之外还可以通过下面的方法进行临时修复

1.建议客户针对服务器使用情况,删除以下两个文件并重启Weblogic服务:

wls9_async_response.war文件及相关文件夹

wls-wsat.war文件及相关文件夹

文件路径如下:

10.3.*版本:

\Middleware\wlserver_10.3\server\lib\
%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

12.1.3版本:

\Middleware\Oracle_Home\oracle_common\modules\
%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

2.通过访问限制配置来限制访问/_async/* 路径的请求。