近日,Oracle官方 发布了 2021 年 10 月份的安全更新。涉及旗下产品(Weblogic Server、Database Server、Java SE、MySQL等)的 419 个漏洞。此次修复的漏洞中包括 9 个和 Weblogic 相关的漏洞,其中的 8 个漏洞无需身份验证即可通过网络进行远程利用。
漏洞描述
Oracle WebLogic Server 是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。
CVE-2021-35617
由于 Oracle WebLogic Server 的 Coherence Container 组件中的输入验证问题,远程未经身份验证的攻击者可以利用此漏洞执行任意代码。
该漏洞 CVSS3评分:9.8,危害等级:严重
CVE-2018-8088
该漏洞存在于 Web服务 slf4j-ext 模块的 org.slf4j.ext.EventData 类中。远程攻击者可通过精心设计的数据绕过预期的访问限制。
该漏洞 CVSS3评分:9.8,危害等级:严重
CVE-2021-35620
由于 Oracle WebLogic Server 核心组件的输入验证问题。远程未经身份验证的攻击者可利用该漏洞进行拒绝服务 (DoS) 攻击。
该漏洞 CVSS3评分:7.5,危害等级:高危
CVE-2020-7226
由于应用程序没有正确控制 Cryptacular 中 CiphertextHeader.java 内部资源的消耗。远程攻击者可以在解码操作期间触发过多的内存分配,从而执行拒绝服务 (DoS) 攻击。
该漏洞 CVSS3评分:7.5,危害等级:高危
CVE-2021-35552
由于 Oracle WebLogic Server 中诊断组件不正确的输入验证。远程未经身份验证的攻击者可以利用此漏洞来操纵数据。
该漏洞 CVSS3评分:5.3,危害等级:中危
CVE-2021-29425
由于 FileNameUtils.normalize 方法在处理目录遍历序列(例如"//../foo"或"\..foo")时存在输入验证错误。远程攻击者可以发送特制的请求验证父文件夹中文件的可用性。
该漏洞 CVSS3评分:5.3,危害等级:中危
CVE-2020-11022
由于对 "jQuery.htmlPrefilter" 正则表达式操作中对用户提供的数据处理不充分。远程攻击者可以将特制数据传递给使用 .html()、.append() 或类似方法的应用程序,并在易受攻击的网站上下文中执行任意 javascript 代码。攻击者可利用该漏洞窃取敏感信息、更改网页的外观、执行网络钓鱼等。
该漏洞 CVSS3评分:6.1,危害等级:中危
CVE-2019-12400
该漏洞存在于 Web 服务 Apache Santuario xml Security For Java 模块中,由于从不受信任的来源加载 xml 解析代码,远程攻击者可以利用该漏洞绕过安全限制。
该漏洞 CVSS3评分:5.5,危害等级:中危,权限需要:低
CVE-2018-10237
由于 AtomicDoubleArray 类(使用 Java 序列化时)和 CompoundOrdering 类(使用 GWT 序列化时)没有对客户端发送的内容进行适当检查以及数据大小是否合理。远程攻击者可利用该漏洞进行 拒绝服务 (DoS) 攻击或反序列化攻击者提供的数据。
该漏洞 CVSS3评分:5.9,危害等级:中危
CVE 编号
CVE-2021-35617
CVE-2021-35552
CVE-2021-29425
CVE-2021-35620
CVE-2020-11022
CVE-2020-7226
CVE-2019-12400
CVE-2018-8088
CVE-2018-10237
FOFA 查询
app="BEA-WebLogic-Server" || app="Weblogic_interface_7001"
影响范围
CVE-2021-35617
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
CVE-2021-35552
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
CVE-2021-29425
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
CVE-2021-35620
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
CVE-2020-11022
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
CVE-2020-7226
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
CVE-2019-12400
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
CVE-2018-8088
Weblogic Server 12.1.3.0.0
CVE-2018-10237
Weblogic Server 12.1.3.0.0
根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="BEA-WebLogic-Server" || app="Weblogic_interface_7001")共有 85,498 个相关服务对外开放。美国使用数量最多,共有 25,398 个;中国第二,共有 17,433 个;德国第三,共有 3,041 个;伊朗第四,共有 2,917 个;印度第五,共有 2,770 个。
全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)
中国大陆地区北京使用数量最多,共有 5,466 个;广东第二,共有 748 个;吉林第三,共有 719 个;上海第四,共有 671 个;山东第五,共有 373 个。
Vulfocus 靶场环境
目前 Vulfocus 已经集成 Weblogic 环境,可通过
docker pull vulfocus/weblogic-cve_2021_2109:latest
docker pull vulfocus/weblogic-cve_2020_2551:latest
docker pull vulfocus/weblogic-cve_2018_2628:latest
……
进行拉取运行,也可通过 http://vulfocus.fofa.so/ 进行测试。
修复建议
通用修补建议
参考Oracle官方更新的补丁,及时进行更新:https://www.oracle.com/security-alerts/cpuoct2021.html
Weblogic 临时修补建议
如果不依赖 T3协议进行 JVM通信,可禁用 T3协议。
如果不依赖 IIOP协议进行 JVM通信,可禁用 IIOP协议。
参考
[1] https://www.oracle.com/security-alerts/cpuoct2021.html
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。