2019年10月,白帽汇安全研究院监测到互联网上爆出了Weblogic反序列化远程命令执行漏洞,WebLogic是美国Oracle公司出品的Java应用服务器,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。攻击者可利用该漏洞在未经授权的攻击者可通过构造T3协议请求,绕过Weblogic的反序列化黑名单,从而获取Weblogic服务器权限,风险较大。希望相关用户采取下方的临时修复方案进行应急。
概况
Weblogic是Oracle公司出品的基于JavaEE架构的中间件,用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。
根据FOFA的数据统计,全球共有26627个开放的weblogic服务。其中美国最多,有8047个开放服务。其次是中国,有5407个开放的weblogic服务。荷兰排第三,有3584个开放的weblogic服务。伊朗第四,有2351个开放的weblogic服务。日本第五,有780个开放的weblogic服务。
全球范围内weblogic服务分布情况(仅为分布情况,非漏洞影响情况)
国内的weblogic服务分布如下,北京最多,有3248个服务,广东有232个服务,上海有213个服务,浙江有200个服务,江苏有200个服务。
危害等级
严重
漏洞分析
T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装自动开启的控制台,由此攻击者可利用该漏洞造成远程代码执行,从而控制Weblogic服务器。
利用RMI接口 Java远程