速报:Weblogic反序列化0day/1day漏洞的临时修补方案

于 2024-07-19 19:26:16 发布
阅读量489 收藏 5
点赞数 5
文章标签: 网络 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71692682/article/details/140562838
版权

086fcee9196dc8301f98a7759d9566bc.png

 Part1 前言 

大家好,我是ABC_123。一年一度的大考就要开始了,坊间传闻weblogic中间件爆出了0day或者1day漏洞,这里ABC_123给大家提供一个临时的漏洞修补方案。

 Part2 研究过程 

最近几年的weblogic反序列化漏洞都与T3和IIOP协议相关,所以还是建议禁用T3和IIOP协议,但是网上很多禁用方法不对,ABC_123给大家介绍一下正确操作方法。

  • 禁用T3协议过程

进入weblogic的后台之后,选择“安全”—“筛选器”,在“连接筛选器规则”输入

weblogic.security.net.ConnectionFilterImpl

连接筛选器规则中输入:

127.0.0.1 * * allow t3 t3s

0.0.0.0/0 * * deny t3 t3s

7155a4d9602ea0014c5f258a4bd3f00b.png

最后重启weblogic项目。

074703359374b4e53dddab0a7e65355c.png

经过测试,10.x版本的weblogic禁用T3需要重启,否则不会生效;12.x版本不需要重启,点击“保存”即可立即生效。

  • 禁用IIOP协议过程

进入weblogic的后台之后,选择“base_domain”—“环境”—“服务器”,然后在对应服务器设置中选择 “协议”—“IIOP” 选项卡,取消 “启用IIOP” 前面的勾选,然后重启weblogic项目。

fa43ed586a5db1873caa80de4dcd4362.png

经过ABC_123测试,几乎所有版本的weblogic,彻底禁用IIOP协议需要重启,否则即使点击了“保存”,也不会生效。禁用T3、IIOP协议之后,红队工具检测如下,提示filter blocked Socket。

c89534ed99df1bfe00611c3b9aea142d.png

  • 其它修复方法

借助安全设备、防火墙策略屏蔽T3及IIOP协议;也可以在Weblogic前面放置一个Nginx,只对HTTP协议进行转发,对T3协议及IIOP协议不进行转发,但是这种方法只能杜绝外网攻击,无法杜绝内网横向中对于Weblogic反序列化漏洞的利用。

75a8dbbbe09605cf7a745c5215388cd8.png

公众号专注于网络安全技术,包括安全咨询、APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,99%原创,敬请关注。

Contact me: 0day123abc#gmail.com

(replace # with @)

希潭实验室
关注
war包启动命令_Oracle WebLogic远程命令执行0day漏洞(CVE-2019-2725补丁绕过)预警
weixin_39682673的博客
11-25 227
​​概述近日,奇安信天眼与安服团队通过数据监控发现,野外出现Oracle WebLogic远程命令执行漏洞最新利用代码,此攻击利用绕过了厂商今年4月底所发布的最新安全补丁(CVE-2019-2725)。由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,在未授权的情况下远程执行命令,获得目标服务器的权限。目前,该漏洞已出现野外的利用,但官方尚未给出相应的补...
预警| WebLogic Server再曝高危0 day漏洞
systemino的博客
06-19 282
6月11日,阿里云安全团队发现WebLogic CVE-2019-2725补丁绕过的0day漏洞,并第一时间上报Oracle官方, 6月12日获得Oracle官方确认。由于Oracle尚未发布官方补丁,漏洞细节和真实PoC也未公开,为保障客户的安全性,阿里云Web应用防火墙(WAF)紧急更新规则,已实现对该漏洞的默认防御。 一、漏洞简介 WebLogic Server是美国甲骨文(Oracle...
一步一步回顾分析攻防演习中的 WebLogic T3 反序列化 0day 漏洞
smellycat000的专栏
04-27 666
聚焦源代码安全,网罗国内外最新资讯!本文内容共分六部分:一、前言二、Jdk7u21 的 PoC 分析1、第一部分利用链分析2、第二部分利用链分析三、MarshalledObject分析四...
预警| WebLogic Server曝高风险远程命令执行0 day漏洞
systemino的博客
04-27 529
近日,阿里云安全团队监测到,由国家信息安全漏洞共享平台(CNVD)收录的Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)被攻击者利用,在未授权的情况下可远程执行命令。该漏洞曾经因为使用HTTP协议,而非t3协议,被黑客利用进行大规模的挖矿行为。 目前该漏洞WebLogic 10.X和WebLogic 12.1.3两个版本均有影响...
面对零日攻击,如何实现有效的漏洞发现和报告流程?
图幻未来的博客
06-17 763
面对日益复杂的零日攻击威胁,我们需要积极运用AI技术在网络安全分析领域的应用,以提高漏洞发现和报告的质量。构建高效、透明的漏洞发现和报告流程将有助于企事业单位和政府机构更好地应对零日攻击带来的安全风险。AI赋能 创造无限可能基于网络安全攻防业务数据,采用生成式大模型技术,将传统人工对抗转变为机器与人对抗,提升网络安全智能分析和运营水平。
WebLogic T3 反序列化 0day 漏洞
sqlora的专栏
04-19 1407
关闭 T3 协议或限制访问地址。 1、检查是否开启T3协议:查找应用服务器路径是否存在 /bea_wls_deployment_internal/loginUser.do (返回状态码是 200 为已开启) 2、关闭和限制方式:在连接筛选器中输入: weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中 输入: ip**allowt3 (允许通过T3协议访问的地址) 0.0.0.0/0 * deny t3 t3s (限制...
annuaire-entreprises.data.gouv.fr:年鉴,基里内共和国信息速报:企业的唐纳德
02-16
Next.js构成了通用的人性化服务框架。 Pourquoidésactiverlaré-hydration吗? 收入和收入比例: Le site peut fonctionner en modedégradésans javascript 网站上的页面,美容,美容,美容,美容,水疗,...
物联网地质环境信息化综合解决方案.pdf
10-14
《物联网地质环境信息化综合解决方案》概述 物联网技术在地质环境信息化领域的应用日益广泛,通过集成化的解决方案,可以高效地管理地质灾害,提升行业的信息化水平。本文将深入探讨四个关键的地质环境信息化管理...
2021年中国梨产业速报.pdf
03-22
2021年中国梨产业速报
基于Java和JavaScript的灾情速报系统设计源码
最新发布
09-27
该项目为第八组的小组作业,设计了一个灾情速报系统,采用Java作为主要编程语言,同时融入JavaScript进行前端开发。系统源码包含54个文件,涵盖15个PNG图片、14个JSP页面、10个Java类文件、8个JPEG图片、4个...
基于GIS/GSM的南京市地震灾情速报系统 (2009年)
06-11
介绍南京市地震灾情速报系统的工作原理,论述基于地理信息系统(GIS)与全球移动通信系统(GSM)的灾情速报流程.在参考标准地震烈度表的基础上,实现对历史灾情的分解和描述,建立简洁的、便于交互的灾情短信代码.分析...
WebLogic远程命令执行0day漏洞
congsuituo5014的博客
07-02 1009
验证漏洞 浏览器中访问http://<IP地址>:<端口>/wls-wsat/CoordinatorPortType,如果出现以下内容,表示wsat组件启用: ...
第48篇:Weblogic最新漏洞修复方法(禁用T3+IIOP协议)
热门推荐
ABC_123的博客
01-27 12万+
Part1 前言大家好,我是ABC_123。春节前weblogic爆出了一个新的漏洞CVE-2023-21839,据说有攻击队曾用这个在野0day打穿了某银行目标。通过官方的漏洞描述来看,应该还是借助jndi来实现反序列化漏洞利用,所以此漏洞成功条件是目标一定要出网,而且T3或IIOP协议开放。与T3协议或IIOP协议相关的weblogic0day漏洞近几年还会不断地公布出来,要想彻底解决这...
weblogic漏洞
公众号shadow sock7
04-25 2195
参考: 最新weblogic漏洞复现 weblogic CVE-2019-2647等相关XXE漏洞分析 环境搭建: 在12.2.1.3版本上访问url发现404了, 使用vulhub之前的docker镜像,10.3.6.0版本: PoC: POST /_async/AsyncResponseService HTTP/1.1 Host: cqq.com:7001 Content-Length: 94...
c++获取一段代码执行时间_【漏洞预警】Oracle WebLogic 远程代码执行0DAY漏洞安全预警通告第二次更新...
weixin_39873456的博客
11-27 119
点击箭头处“蓝色字”,关注我们哦!!尊敬的客户:Oracle官方于今日发布紧急安全更新,修复了前几日在互联网传播的Oracle远程代码执行 0DAY 漏洞(即 CVE-2019-2725 补丁绕过漏洞),并为此漏洞分配编号 CVE-2019-2729。此漏洞由奇安信代码卫士团队在五月初发现并第一时间提交至Oracle官方。奇安信安全监测与响应中心将持续关注该漏洞进展,并第一时间为您更新该...
【SAP Hana】XS应用管理控制台登录
XLevon的博客
11-20 1005
完成第一个程序XS应用Hello World的开发后,可以登陆XS应用管理控制台查看。 URL:http://<SAP HANA 主机名 or IP地址>:80<实例号>/sap/hana/xs/admin/ 用户名和密码:对应SAP HANA数据库的用户名和密码。 问题现象:服务器拒绝了请求。 问题原因:该账号缺少相应的访问权限。 解决方案:需要在HANA Studio中为该用户添加以下sap.hana.xs.admin.roles::* (1)用管理员账号SY
WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839)
0xSec
02-11 5433
WebLogic存在远程代码执行漏洞,该漏洞允许未经身份验证的远程攻击者通过T3/IIOP协议网络访问并破坏易受攻击的WebLogic服务器,成功利用此漏洞可能导致Oracle WebLogic服务器被接管或敏感信息泄露。
网络安全】零日漏洞0day)是什么?如何防范零日攻击?
par@ish的博客
12-08 1万+
零日攻击是利用零日漏洞0day)对系统或软件应用发动的网络攻击,近年来,零日攻击威胁在日益增长且难以防范,零日攻击已成为企业网络信息安全面临的最严峻的威胁之一。
JOPENS定位法:台湾中深源地震参数对比与速报策略
研究者们关注的问题在于,如何通过JOPENS系统提供的多种定位方法(如最小二乘法、贝叶斯估计、逆波形反演等)来确定最优的定位策略,以便于快速准确地提供地震速报。 研究方法部分详细描述了作者采用的具体定位技术...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

希潭实验室

您的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值