墨墨导读:2019 年 6 月 19 日,Oracle 官方正式发出通告,weblogic 存在一个最新的高位漏洞 cve-2019-2729。此漏洞来源于 OracleWebLogicServer 的 WebServices 组件,分值达到 9.8。
1. 问题跟踪
2019 年 6 月 19 日,Oracle 官方正式发出通告,weblogic 存在一个最新的高位漏洞 cve-2019-2729。此漏洞来源于 OracleWebLogicServer 的 WebServices 组件,分值达到 9.8。 (简单说利用反序列化漏洞在不需要用户、密码的情况下远程攻击运行的 weblogicserver)。 其实在6月16日,国内不少安全厂商就已经反馈此漏洞,此漏洞根源在于oraclecve-2019-2725 修复不彻底,应用了 cve-2019-2725 补丁后,仍然被绕过。
建议重点修复那种架构简单,外网直接访问 weblogic 的应用。
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html
重新定义漏洞为 CVE-2019-2729
2. 分析及发现
总的来说就是每一个 weblogicserver 实例都会发布一个内部的异步 webservice 应用 (bea_wls9_async_response.war),该服务处理异步请求响应功能。但可以使用参数禁用它。
2.1 Disabling The Internal Asynchronous Service
By default, every WebLogic Server instance deploys an internal asynchronous Web Service that handes the asynchronous request-response feature. To specify that you do not want to deploy this internal service, start the WebLogic Server instance using the -Dweblogic.wsee.skip.async.response=true Java system property.
One reason for disabling the asynchronous service is if you use a WebLogic Server instance as a Web proxy to a WebLogic cluster. In this case, asynchronous messages will never get to the cluster, as required, because the asynchronous service on the proxy server consumes them instead. For this reason, you must disable the asynchronous service on the proxy server using the system property.
漏洞排查:
http://ip:port/_async/AsyncResponseService