WebLogic 是美国 Oracle 公司出品的 Java 应用服务器，WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。

近期白帽汇安全研究院检测发现在野的 Oracle WebLogic 远程命令执行漏洞最新利用方式，攻击者可以通过发送精心构造的恶意请求，获得目标服务器的权限，并在未授权的情况下执行远程命令，最终获取服务器的权限。针对漏洞的新的利用方式，官方暂时未发布补丁，所以建议受到影响的用户可根据临时修复建议进行处置，以防服务器处于高风险之中。

FOFA 查询

app="BEA-WebLogic-Server" ||  app="Weblogic_interface_7001"

影响范围

Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0

根据目前FOFA系统最新数据，显示全球范围内（app="BEA-WebLogic-Server" || app="Weblogic_interface_7001"）共有 81,324 个相关服务对外开放。美国使用数量最多，共有 22,663 个；中国第二，共有 17,981 个；荷兰第三，共有 7,740 个；德国第四，共有 4,448 个；伊朗第五，共有 3,699 个。全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区北京使用数量最多，共有 4,573 个；广东第二，共有 985 个；上海第三，共有 914 个；吉林第四，共有 665 个；江苏第五，共有 554 个。

漏洞环境——Vulfocus

目前 Vulfocus 已经集成 Weblogic 环境，可通过

docker pull vulfocus/weblogic-cve_2018_2628:latest
docker pull vulfocus/weblogic-cve_2017_10271:latest
docker pull vulfocus/weblogic-cve_2020_2551:latest

进行拉取运行，可也通过 http://vulfocus.fofa.so/ 进行测试。

临时修复建议

1、可通过关闭IIOP协议对此漏洞进行临时防御。操作如下：在Weblogic控制台中，选择“服务”->”AdminServer”->”协议”，取消“启用IIOP”的勾选。重启Weblogic项目，使配置生效。

2、对T3服务进行控制控制T3服务的方法：在上图这个WebLogic界面中选择安全-筛选器，在下方出现的界面中找到“连接筛选器”，在里面输入：

security.net.ConnectionFilterImpl

然后在连接筛选器规则中输入：

127.0.0.1 * * allow t3 t3s，0.0.0.0/0 * * deny t3 t3s

最后保存并重启服务器即可生效。

3、升级 JDK 至最新版本。

https://www.oracle.com/java/technologies/javase-downloads.html

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。