cve公告
Oracle官方发布了2021年4月的补丁修复如下漏洞:
CVE-2021-2157
CVE-2021-2294
CVE-2021-2204
CVE-2021-2214
CVE-2021-2135
CVE-2021-2136
CVE-2021-2211
CVE-2021-2277
CVE-2020-25649
CVE-2021-2142
其中涉及WebLogic组件的高危漏洞有2个,分别为CVE-2021-2135、CVE-2021-2136。危害较大要尽快更新发布的安全补丁。
WebLogic是美国Oracle公司出品的一个Application Server,确切的说是一个基于Jave EE架构的中间件。
WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
CVE-2021-2136
攻击者可以在未授权的情况下通过IIOP协议对存在漏洞的WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。
CVE-2021-2135
攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞的WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。
影响范围
目前国内互联网开放WebLogic的资产数量非常多,这是我在fofa上查询结果https://fofa.so/result?qbase64=IldlYkxvZ2ljIiAmJiBjb3VudHJ5PSJDTiIgJiYgaGVhZGVyPSJXZWJMb2dpYyI%3D。
目前受影响的Oracle WebLogic Server版本:
CVE-2021-2135 CVE-2021-2136:
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
解决方法
进入WebLogic安装主目录下的OPatch目录,输入./opatch lspatches命令,查询版本:
./opatch lspatches
四月 21,2021 10:00:06 上午 oracle.sysman.oii.oiii.OiiiInstallAreaControl initAreaControl
信息:Install area Control created with access level 0
31656851 WLS PATCH SET UPDATE 12.1.3.0.201020
官方已发布受影响版本的对应补丁,链接如下:
https://www.oracle.com/security-alerts/cpuapr2021.html
打补丁升级
使用opatch安装补丁,进入Oracle\Middleware\Oracle_Home\OPatch目录运行opatch.bat脚本:
需要使用Oracle官方的最新补丁,结合自己使用的WebLogic Server版本号选择对应的补丁进行安装。
运行opatch apply {WebLogic补丁文件夹}命令进行补丁安装:
再运行opatch lspatches命令,查看补丁号,确认是否安装最新补丁。
临时解决办法
1. 关闭IIOP协议对此漏洞进行临时解决办法:
在WebLogic控制台选择"AdminServer"->"协议",取消"启用IIOP"的勾选重启WebLogic使配置生效。
2. 对T3服务进行控制临时解决方法:
然后在WebLogic界面中选择安全筛选器:
1. 在下方出现的界面中找到"连接筛选器",在里面输入security.net.ConnectionFilterImpl
2. 然后在连接筛选器规则中输入127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s
3. 最后保存并重启服务器即可生效。
甲方自动化解决方案
作为甲方安全部门,应该自研或采购主机资产检测系统,监控主机资产,包括系统、进程、系统账号、用户组、端口、站点、软件、数据库、环境变量、安装包等。
通过定时收集更新企业所有主机资产信息,形成安全资产数据库。然后遍历所有主机信息,检索WebLogic安装包、进程版本。如发现存在有漏洞影响版本,立即更新补丁。
关于自动化打补丁
前些年运维批量部署常用puppet加自动更新脚本实现。现在我们有了功能更加便捷的ansible自动化批量部署工具,集合了众多运维工具(puppet、cfengine、chef、func、fabric)的优点,还具有跨平台的特点,收管的服务器不论是windows系列亦或是linux/unix系列,均可实现自动化补丁安装实现了批量系统配置、批量程序部署。
通过调度程序查询安全资产数据库,获取主机资产的系统类型、内核版本、WebLogic受影响版本12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0。此时已经获取到了受影响的主机列表。
ansible服务器向内网补丁服务器获取相应的补丁包。
取到对应的补丁包后,将补丁包分发给受影响的主机们,并发送安装更新打补丁指令。
进一步地
我们还可看收集CVE信息,形成公司自己的CVE安全漏洞库,定期更新遍历CVE漏洞库、检索企业资产数据库,找出受影响的主机,然后使用ansible自动打补丁,最终形成一个汇总报告。