概述
近日,白帽汇安全研究院监测到互联网上曝出了Oracle WebLogic反序列化远程命令执行漏洞。WebLogic是美国Oracle公司出品的Java应用服务器,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。攻击者可利用该漏洞在未授权的情况下远程执行命令。和CVE-2019-2725(CNVD-C-2019-48814)不同,该漏洞可以绕过最新的补丁。由于weblogic使用人数众多,其中包含一些重要单位,且目前官方未发布相关补丁,所以漏洞危害非常严重。希望相关用户采取下方的临时修复方案进行应急。
分布情况
根据FOFA的数据统计,全球共有26421个开放的weblogic服务。其中美国最多,有11284个开放服务。其次是中国,有6852个开放的weblogic服务。伊朗排第三,有2204个开放的weblogic服务。德国有453个开放的weblogic服务。加拿大有414个开放的weblogic服务。
国内的weblogic服务分布如下,北京最多,有3660个服务,广东有394个服务,上海有393个服务,浙江有271个服务,江苏有209个服务。
漏洞危害
- 高危
影响版本
WebLogic 10.X
WebLogic 12.1.3
漏洞POC
目前,文中提到的漏洞相关PoC,FOFA客户端目前已支持检测上述漏洞。
修复建议
目前,Oracle官方暂未发布补丁,临时解决方案如下:
- 1、通过访问策略控制禁止 /_async/跟/wls-wsat/ 路径的URL访问。
-
2、删除 wls9_async_response.war 与 wls-wsat.war 文件及相关文件夹,并重启 Weblogic 服务。进行删除操作可能造成未知后果,请谨慎操作。 需要删除的文件路径如下:
10.3.*版本路径:
\Middleware\wlserver_10.3\server\lib\
%DOMAIN_HOME%\servers\AdminServer\tmp_WL_internal\ %DOMAIN_HOME%\servers\AdminServer\tmp.internal\
12.1.3 版本路径:
\Middleware\Oracle_Home\oracle_common\modules\
%DOMAIN_HOME%\servers\AdminServer\tmp.internal\
%DOMAIN_HOME%\servers\AdminServer\tmp_WL_internal\
相关补丁请密切关注 Oracle 官方 补丁通告。
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。