近日，Oracle官方 发布了 2022 年 1 月份的安全更新。涉及旗下产品（Weblogic Server、Database Server、Java SE、MySQL等）的 497 个漏洞。此次修复的漏洞中包括 25 个和 Weblogic 相关的漏洞，其中的 11 个漏洞无需身份验证和用户交互即可通过网络进行远程利用。

漏洞描述

Oracle WebLogic Server 是美国甲骨文（Oracle）公司的一款适用于云环境和传统环境的应用服务中间件，WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。

CVE-2022-21306

由于 Oracle WebLogic Server 的核心组件中的输入验证问题，远程未经身份验证的攻击者可以通过 T3 访问网络利用此漏洞执行任意代码。

该漏洞 CVSS3评分：9.8，危害等级：严重

CVE-2022-21292

由于 Oracle WebLogic Server 的 Samples 组件中的输入验证问题，远程未经身份验证的攻击者可以通过 HTTP协议利用此漏洞。

该漏洞 CVSS3评分：7.5，危害等级：高危

CVE-2022-21371

由于 Oracle WebLogic Server 的 Web Container 组件中的输入验证问题，远程未经身份验证的攻击者可以通过 HTTP协议利用此漏洞。

该漏洞 CVSS3评分：7.5，危害等级：高危

CVE-2022-21252

由于 Oracle WebLogic Server 的 Samples 组件中的输入验证问题，远程未经身份验证的攻击者可以通过 HTTP协议利用此漏洞。

该漏洞 CVSS3评分：6.5，危害等级：中危

CVE-2022-21347

由于 Oracle WebLogic Server 的 核心组件中的输入验证问题，远程未经身份验证的攻击者可以通过 T3协议利用此漏洞。

该漏洞 CVSS3评分：6.5，危害等级：中危

CVE-2022-21350

由于 Oracle WebLogic Server 的 核心组件中的输入验证问题，远程未经身份验证的攻击者可以通过 T3协议利用此漏洞。

该漏洞 CVSS3评分：6.5，危害等级：中危

CVE-2022-21353

由于 Oracle WebLogic Server 的 核心组件中的输入验证问题，远程未经身份验证的攻击者可以通过 T3协议利用此漏洞。

该漏洞 CVSS3评分：6.5，危害等级：中危

CVE 编号

CVE-2022-21306
CVE-2022-21292
CVE-2022-21371
CVE-2022-21252
CVE-2022-21347
CVE-2022-21350
CVE-2022-21353

FOFA 查询

app="BEA-WebLogic-Server" || app="Weblogic_interface_7001"

影响范围

CVE-2022-21306
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0  
​
CVE-2022-21292
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0  
​
CVE-2022-21371
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0  
​
CVE-2022-21252
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0  
​
CVE-2022-21347
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0  
​
CVE-2022-21350
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0  
​
CVE-2022-21353
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0  

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="BEA-WebLogic-Server" || app="Weblogic_interface_7001"）共有 95,736 个相关服务对外开放。美国使用数量最多，共有 26,138 个；中国第二，共有 19,972 个；日本第三，共有 3,715 个；德国第四，共有 3,525 个；印度第五，共有 3,305 个。

中国大陆地区北京使用数量最多，共有 4,344 个；山东第二，共有 1,048 个；上海第三，共有 804 个；广东第四，共有 760 个；吉林第五，共有 728 个。

Vulfocus 靶场环境

目前 Vulfocus 已经集成多个 Weblogic 环境，可通过以下链接启动环境测试：

http://vulfocus.fofa.so/#/dashboard?image_id=f7650678-c6e1-4ee1-80f5-aa93b8b37394

http://vulfocus.fofa.so/#/dashboard?image_id=858feeee-421d-46d5-b95f-90bfc31df6f3

也可通过以下命令拉取本地环境运行：

docker pull vulfocus/weblogic-cve_2021_2109:latest
docker pull vulfocus/weblogic-cve_2020_2551:latest
docker pull vulfocus/weblogic-cve_2018_2628:latest
……

修复建议

通用修补建议

参考Oracle官方更新的补丁，及时进行更新：https://www.oracle.com/security-alerts/cpujan2022.html

Weblogic 临时修补建议

1. 如果不依赖 T3协议进行 JVM通信，可禁用 T3协议。

2. 如果不依赖 IIOP协议进行 JVM通信，可禁用 IIOP协议。

参考

[1] https://www.oracle.com/security-alerts/cpujan2022.html

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。