安全研究 >> 安全研究详情

Weblogic 反序列化漏洞预警及解决方案

作者: 美创科技安全实验室发布日期: 04月25日

漏洞情况分析


WebLogic Server 是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。


wls9-async 组件为 WebLogic Server 提供异步通讯服务,默认应用于 WebLogic 部分版本。由于该 WAR 包在反序列化处理输入信息时存在缺陷,攻击者通过发送精心构造的恶意 HTTP 请求,即可获得目标服务器的权限,在未授权的情况下远程执行命令。


漏洞影响范围


根据 zoomeye 网络探测平台,目前全球共有10万多台 WebLogic 设备,其中中国具有3万多台。另外根据 CNVD 对 WebLogic 服务在全球范围内的分布情况的分析结果得知,我国境内已有2017个网站受此漏洞影响。



该漏洞的影响版本如下:

WebLogic 10.X

WebLogic 12.1.3


反序列化漏洞基本原理


Java 序列化与反序列化

  • Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream 类的 writeObject() 方法可以实现序列化。


  • Java 反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。



序列化与反序列化是让 Java 对象脱离 Java 运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。


攻击者可以在未授权的情况下, 在WebLogic Server中执行反序列化操作,造成远程代码执行漏洞,而后利用该漏洞远程执行恶意代码、挖矿脚本、勒索病毒等。


临时解决方案


1

停止 weblogic 服务

一般路径如下:

%DOMAIN_HOME%/bin/stopWebLogic.sh


2

 删除相关 war 文件

具体路径如下:

版本号为10.*:

\Middleware\wlserver_10.3\server\lib\bea_wls9_async_response.war

%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\bea_wls9_async_response\

%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\bea_wls9_async_response.war


\Middleware\wlserver_10.3\server\lib\ wls-wsat.war 

%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\ wls-wsat.war

版本号为12.1.3:

\Middleware\Oracle_Home\oracle_common\modules\com.oracle.webservices.wls.bea-wls9-async-response_12.1.3.war

%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\com.oracle.webservices.wls.bea-wls9-async-response_12.1.3.war

%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\com.oracle.webservices.wls.bea-wls9-async-response_12.1.3


\Middleware\Oracle_Home\oracle_common\modules\com.oracle.webservices. wls-wsat.war

%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\com.oracle.webservices.wls. wls-wsat.war


3

重启 weblogic 服务

一般路径如下:

%DOMAIN_HOME%/bin/startWebLogic.sh


4

禁止高危 URL 访问

通过访问策略控制禁止 /_async/* 及 /wls-wsat/* 路径的 URL 访问。


小结


目前 Oracle 官方还未为该漏洞提供相应补丁,建议使用 Weblogic server 相应版本的用户按照临时解决方案及时进行修复,并时刻关注补丁发布情况。


附官方 Oracle 安全补丁下载网址:

https://www.oracle.com/technetwork/topics/security/alerts-086861.html




服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备 09009762号-1