【安全通报】Weblogic 多个远程代码执行漏洞更新

product20210720.png

近日,Oracle官方 发布了 2021年7月份的安全更新。涉及旗下产品(Weblogic Server、Database Server、Java SE、MySQL等)的 342 个漏洞。此次修复的漏洞中包括 7 个和 Weblogic 相关的漏洞,其中的 7 个漏洞无需身份验证即可通过网络进行远程利用。

漏洞描述

Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。

CVE-2021-2394

该漏洞允许未经身份验证的攻击者通过 T3、IIOP 访问网络来破坏 Oracle WebLogic Server。成功攻击此漏洞可能会导致 Oracle WebLogic Server 被接管。

该漏洞 CVSS3评分:9.8,危害等级:严重

CVE-2021-2397

该漏洞允许未经身份验证的攻击者通过 T3、IIOP 访问网络来破坏 Oracle WebLogic Server。成功攻击此漏洞可能会导致 Oracle WebLogic Server 被接管。

该漏洞 CVSS3评分:9.8,危害等级:严重

CVE-2021-2382

该漏洞允许未经身份验证的攻击者通过 T3、IIOP 访问网络来破坏 Oracle WebLogic Server。成功攻击此漏洞可能会导致 Oracle WebLogic Server 被接管。

该漏洞 CVSS3评分:9.8,危害等级:严重

CVE-2021-2378

该漏洞允许未经身份验证的攻击者通过 T3、IIOP 访问网络来破坏 Oracle WebLogic Server。成功攻击此漏洞可导致未经授权导致 Oracle WebLogic Server 挂起或频繁重复崩溃(完全 DOS)。

该漏洞 CVSS3评分:7.5,危害等级:高危

CVE-2021-2376

该漏洞允许未经身份验证的攻击者通过 T3、IIOP 访问网络来破坏 Oracle WebLogic Server。成功攻击此漏洞可导致未经授权导致 Oracle WebLogic Server 挂起或频繁重复崩溃(完全 DOS)。

该漏洞 CVSS3评分:7.5,危害等级:高危

CVE-2015-0254

该漏洞由第三方工具(Apache Standard Taglibs)引起。1.2.3 版本之前的 Apache Standard Taglibs允许远程攻击者执行任意代码或进行外部 xm l 实体 (XXE) 攻击。

该漏洞 CVSS3评分:7.3,危害等级:高危

CVE-2021-2403

该漏洞允许未经身份验证的攻击者通过 HTTP 访问网络来破坏 Oracle WebLogic Server。成功攻击此漏洞可能会导致对 Oracle WebLogic Server 可访问数据的子集进行未经授权的读取访问。

该漏洞 CVSS3评分:5.3,危害等级:中危

CVE 编号

CVE-2021-2394
CVE-2021-2397
CVE-2021-2382
CVE-2021-2378
CVE-2021-2376
CVE-2015-0254
CVE-2021-2403

FOFA 查询

app="BEA-WebLogic-Server" || app="Weblogic_interface_7001"

影响范围

CVE-2021-2394
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0

CVE-2021-2397
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0

CVE-2021-2382
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0

CVE-2021-2378
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0

CVE-2021-2376
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0

CVE-2015-0254
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0

CVE-2021-2403
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="BEA-WebLogic-Server" || app="Weblogic_interface_7001")共有 80,542 个相关服务对外开放。美国使用数量最多,共有 23,874 个;中国第二,共有 16,066 个;伊朗第三,共有 3,618 个;德国第四,共有 3,054 个;印度第五,共有 2,541 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

global20210720.png

中国大陆地区北京使用数量最多,共有 3,787 个;上海第二,共有 884 个;广东第三,共有 779 个;吉林第四,共有 626 个;山东第五,共有 386 个。

country20210720.png

Vulfocus

目前 Vulfocus 已经集成 Weblogic 环境,可通过

docker pull vulfocus/weblogic-cve_2021_2109:latest
docker pull vulfocus/weblogic-cve_2020_2551:latest
docker pull vulfocus/weblogic-cve_2018_2628:latest ……

进行拉取运行,也可通过 http://vulfocus.fofa.so/ 进行测试。

vulfocus20210720.png

修复建议

通用修补建议

参考Oracle官方更新的补丁,及时进行更新:https://www.oracle.com/security-alerts/cpujul2021.html

Weblogic 临时修补建议

  1. 如果不依赖 T3协议进行 JVM通信,可禁用 T3协议。

  2. 如果不依赖 IIOP协议进行 JVM通信,可禁用 IIOP协议。

参考

[1] https://www.oracle.com/security-alerts/cpujul2021.html


白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐