WebLogic 反序列化0day漏洞(CVE-2019-2725补丁绕过)预警

最新推荐文章于 2024-05-26 09:55:35 发布
最新推荐文章于 2024-05-26 09:55:35 发布
阅读量1.8k 收藏 1
点赞数

 

0x00 事件背景

2019年06月15日,360CERT监测到在野的Oracle Weblogic远程反序列化命令执行漏洞,该漏洞绕过了最新的Weblogic补丁(CVE-2019-2725),攻击者可以发送精心构造的恶意HTTP请求,在未授权的情况下远程执行命令。目前官方补丁未发布,漏洞细节未公开。360CERT经研判后判定该漏洞综合评级为“高危”,强烈建议受影响的用户尽快根据临时修补建议进行临时处置,防止收到攻击者攻击。PHP大马

 

0x01 漏洞细节

该漏洞是针对2019年4月Weblogic补丁的绕过,主要是由于支持Weblogic的JDK版本存在缺陷而导致攻击者可以绕过补丁在远程执行任意命令。

public_image

 

0x02 影响范围

影响产品:

  • Oracle WebLogic Server10.3.6.0.0
  • Oracle WebLogic Server12.1.3.0.0

影响组件:

  • wls9_async_response.war
  • wls-wsat.war

 

0x03 修复建议

  1. 删除wls9_async_response.war和wls-wsat.war文件及相关文件夹并重启Weblogic服务。具体路径为:

    10.3.*版本:奇热影视

     \Middleware\wlserver_10.3\server\lib\
 %DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
 %DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

    12.1.3版本:

     \Middleware\Oracle_Home\oracle_common\modules\
 %DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
 %DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
  2. 通过访问策略控制禁止 /_async/* 路径的URL访问
  3. 及时升级支持Weblogic的Java版本。

 

0x04 时间线

2019-06-15 360CERT发现事件并确认

2019-06-16 360CERT对预警进行更新

systemino
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
预警| WebLogic Server再曝高危0 day漏洞
systemino的博客
06-19 272
6月11日,阿里云安全团队发现WebLogic CVE-2019-2725补丁绕过0day漏洞,并第一时间上报Oracle官方, 6月12日获得Oracle官方确认。由于Oracle尚未发布官方补丁漏洞细节和真实PoC也未公开,为保障客户的安全性,阿里云Web应用防火墙(WAF)紧急更新规则,已实现对该漏洞的默认防御。 一、漏洞简介 WebLogic Server是美国甲骨文(Oracle...
WebLogic CVE-2019-2725补丁.zip
07-16
weblogic反序列化补丁
探索网络安全新境界:CVE-2019-1040 工具
最新发布
gitblog_00032的博客
05-26 394
探索网络安全新境界:CVE-2019-1040 工具 项目地址:https://gitcode.com/Ridter/CVE-2019-1040 在信息安全的世界中,漏洞利用是一种独特且强大的技能,而今天我们将介绍的开源项目正是这个领域的佼佼者 —— CVE-2019-1040。这个工具是针对2019年发现的一个重大安全漏洞的有效利用方法,它简化了对Exchange服务器的攻击,并可能进一步获得域...
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .txt
06-27
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .网上几乎没有,请珍惜。
WebLogic反序列化漏洞CVE-2019-2725补丁绕过
weixin_30333885的博客
06-18 773
影响产品: Oracle WebLogic Server10.3.6.0.0 Oracle WebLogic Server12.1.3.0.0 影响组件: wls9_async_response.war wls-wsat.war 本次环境: Oracle WebLogic Server10.3.6.0.0 0x01 首先判断...
# CVE-2019-2725反序列化漏洞补丁绕过分析
weixin_30551963的博客
06-24 1023
一、CVE-2019-2725几种poc构造 CVE-2019-2725几种poc构造看我博客链接,解压密码都是afanti_ CVE-2019-2725 二次反序列化jdk7u21 gadgets CVE-2019-2725 二次反序列化jndi注入分析 CVE-2019-2725 二次反序列化FileSystemXmlApplicationContext Gadget POC CVE...
CVE-2019-2725:WebLogic不安全反序列化-CVE-2019-2725有效负载生成器和漏洞利用
04-25
CVE-2019-2725 WebLogic Universal Exploit-CVE-2017-3506 / CVE-2017-10271 / CVE-2019-2725 / CVE-2019-2729有效负载生成器和利用信息/帮助$ python3 weblogic_exploit.py -h====================================...
Weblogic-CVE-2019-2725补丁升级方法.docx
11-08
Weblogic-CVE-2019-2725补丁升级方法详解》 WebLogic Server是一款由甲骨文公司开发的企业级应用服务器,它为构建、部署和管理企业级Java应用程序提供了全面的平台。然而,随着技术的发展,安全漏洞的出现是不可...
WebLogic远程命令执行0day漏洞
congsuituo5014的博客
07-02 997
验证漏洞 浏览器中访问http://<IP地址>:<端口>/wls-wsat/CoordinatorPortType,如果出现以下内容,表示wsat组件启用: ...
cve-2019-2725修复相关的补丁p29694149_10360190115_Generic.zip
06-03
cve-2019-2725修复相关的补丁和jdk等 cve-2019-2725补丁安装过程中使用到的材料 仅用于学习,如果用于商业,产生版权纠纷,与本人无关。
cve-2019-2725修复使用到的p28710912_1036_Generic.zip
06-03
cve-2019-2725修复相关的补丁和jdk等 cve-2019-2725补丁安装过程中使用到的材料 仅用于学习,如果用于商业,产生版权纠纷,与本人无关。
高危Windows 0day漏洞
10-08
2010年7月16日,Windows快捷方式自动执行0day漏洞[CVE-2010-2568](微软安全知识库编 号2286198)被披露,很快网上已经可以找到利用这个漏洞攻击的样本。利用Windows快捷方式自动执行0day漏洞可以做到:看一眼恶意软件就中 毒,而根本不需要去执行它。金山毒霸安全实验室预计在未来一段时间,这个漏洞将会被广泛使用,网民须高度重视。 攻击者利用Windows快捷方式自动执行0day漏洞,可以制作一个特殊的lnk文件(LNK是快捷方式文件的扩展名),当Windows解析这个 LNK文件时,会自动执行指定的恶意程序。这个漏洞最佳利用通道是U盘、移动硬盘、数码存储卡,也可以是本地磁盘或网络共享文件夹,当U盘或网络共享文件 夹存在这样的攻击程序时,只需要使用资源管理器,或与资源管理器类似的应用程序查看这个文件夹,不需要手动运行病毒程序,病毒自己就会触发。newjian.com 这个漏洞最令人吃惊的地方在于,“不需要双击病毒文件,仅看一眼文件图标就中毒”。几年前,曾经有个叫“新欢乐时光 (VBS.KJ)”的病毒广为流传,VBS.KJ病毒会在每个文件夹下生成desktop.ini和folder.htt文件(这两个文件控制了文件夹在 资源管理器中的显示)。只要打开被病毒修改过的含有desktop.ini和folder.htt的文件夹,不需要双击病毒,看一眼就中毒。现在和新欢乐 时光传播类似的病毒将要出现了,尽管我们现在还没有看到很多病毒作者利用Windows快捷方式漏洞传播,但相信这种病毒攻击一定会有。 Windows快捷方式自动执行0day漏洞存在所有流行的Windows版本,包括尚未公开发布的Windows 7 SP1 beta和Windows 2008 R2 SP1 beta。意味着,这个风险几乎遍布所有安装了Windows的电脑。 防止这个漏洞被利用,微软方面提供了几个暂时缓解的方案: 1.关闭快捷方式图标的显示,不过这会让Windows界面变得奇丑,因为一个个漂亮的桌面图标和开始菜单图标全都不显示了。 2.建议企业用户关闭WebClient服务,个人用户(一般不使用网络共享资源)可以不必考虑这个问题。 3.关闭U盘自动播放可以避免插上U盘的动作就中毒,只有手动查看文件夹才有风险。 4.以受限用户权限运行计算机可以降低风险 对于喜欢使用各种Windows美化版的用户来说,可能麻烦更大一些,这些美化版大都修改了shell32.dll,针对这个Windows 快捷方式自动执行0day漏洞的修补程序,可能去修补shell32.dll,可能会让这些美化版出现一些问题。倘若这些真的发生了,那些使用美化版的盗 版Windows用户也许会拒绝这个重要的安全补丁,从而加剧利用此漏洞的病毒传播。 这是一个需要安全厂商和所有消费者高度关注的安全漏洞,希望微软能在下一个例行补丁日到来之前提供应急补丁。金山毒霸安全实验室将会严阵以待,防止利用此漏洞传播的病毒扩散。
[CVE-2019-2725] Weblogc XMLDecoder RCE
公众号shadow sock7
08-27 1859
主要看看回显方案,参考: https://github.com/iceMatcha/CNTA-2019-0014xCVE-2019-2725/blob/master/weblogic_rce.py https://github.com/pimps/CVE-2019-2725/blob/master/weblogic_exploit.py Weblogic 远程命令执行漏洞分析(CVE-2019-2725)及利用payload构造详细解读 因为之前的补丁已经对xml的内容进行了限制: object、ne
Weblogic反序列化漏洞绕过CVE-2019-2725)处置方案
文公子的博客
11-06 758
Weblogic反序列化漏洞绕过CVE-2019-2725)处置方案 TAG: Oracle、Weblogic、远程代码执行、wls9-async、wls-wsat、CNVD-C-2019-48814、CVE-2019-2725 危害等级: 高,监测到CVE-2019-2725漏洞补丁存在绕过方式,可造成远程代码执行。 版本: 1.0 1 漏洞概述 近日,绿盟科技安全团队发现针对Oracle Weblogic的在野漏洞利用,攻击特征与CVE-2019-2725类似。此攻击可以绕过O
cve-2019-2725补丁安装过程
bu1216shi的博客
06-03 3912
Weblogic反序列化远程代码执行漏洞CVE-2019-2725补丁安装过程分享 oracle官网给的信息如下applprod账户把java进程都关掉,具体如下升级jdk备份weblogic 具体如下:删除历史的weblogic里发布相关的临时文件,具体如下applprod账户 修改bsu.sh 如下:applprod账户 上传补丁如下:weblogic domain里的修改改名weblog...
java反序列化weblogic_WebLogic “Java 反序列化”过程远程命令执行漏洞
weixin_30563489的博客
02-12 211
### 漏洞原理反序列化是指特定语言中将传递的对象序列化数据重新恢复为实例对象的过程,而在这个过程中会执行一系列的字节流解析和对象实例化操作用于恢复之前序列化时的对象。在原博文所提到的那些 Java 应用里都有特定的接口用于传递序列化对象数据,而在反序列化时并没有限制实例化对象的类型,导致可以任意构造应用中已经包含的对象利用反序列化操作进行实例化。Java 在进行反序列化操作的时候会使用 Obje...
rmi远程反序列化rce漏洞_Weblogic wls9-async反序列化远程代码执行漏洞(CVE-2019-2725)漏洞分析...
weixin_30390951的博客
02-22 285
阅读:1,361这个漏洞最先由某厂商报给某银行,某银行再将该信息报给CNVD,后CNVD通告:国家信息安全漏洞共享平台(CNVD)收录了由该银行报送的Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814),详情见链接:cnvd对于该漏洞,Oracle官方也破例了一回,提前发了补丁,但是这个补丁只是针对10.3.6系列的,对于12版本系列...
CVE-2019-2725/CNVD-C-2019-48814绕过补丁的批量检测工具
酷狗直播-锦凡歆的博客
07-26 1012
关于CVE-2019-2725/CNVD-C-2019-488 14被绕过补丁的说明 https://www.jianshu.com/p/00971068de90 工具下载地址: 链接: https://pan.baidu.com/s/1y4aXxS4D3EYxFZ1Q3sj_1A 提取码: uq3t 作者: 锦凡歆在 ‘来疯’ 直播唱歌最好听 转发自: ht...
Weblogic IIOP反序列化漏洞(CVE-2020-2551)
07-28
关于Weblogic IIOP反序列化漏洞CVE-2020-2551),以下是一些相关信息: CVE-2020-2551是Weblogic Server的一个严重漏洞,该漏洞允许攻击者通过发送特制的T3协议请求来执行任意代码。这个漏洞属于Java反序列化漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值