![9e5cf0ff3bc71236fb81ec042fb42ef1.gif](https://i-blog.csdnimg.cn/blog_migrate/3324b374780f78a4944d398b3a719846.gif)
漏洞公告
2020年7月15日,Oracle官方发布了2020年7月安全更新公告,包含了其家族WebLogic Server在内的多个产品安全漏洞公告,其中有涉及IIOP、T3协议远程代码执行的高危漏洞,对应CVE编号:CVE-2020-14645,相关链接参考:
https://www.oracle.com/security-alerts/cpujul2020.html
根据公告,漏洞存在于Oracle WebLogic Server IIOP、T3协议中,恶意攻击者可通过此反序列化漏洞在目标系统中执行任意命令,从而获取管理权限,建议部署该服务的用户尽快测试和部署漏洞修复补丁或采取缓解措施加固系统。
1
影响范围
CVE-2020-14645漏洞影响以下Oracle WebLogic Server版本:
WebLogic Server 10.3.6.0.0版本
WebLogic Server 12.1.3.0.0版本
WebLogic Server 12.2.1.3.0版本
WebLogic Server 12.2.1.4.0版本
WebLogic Server 14.1.1.0.0版本
通过安恒研究院SUMAP平台对全球部署的Weblogic T3进行统计,最新查询分布情况如下:
![efd7797709e7cd52bf87f14d70b1d85b.png](https://i-blog.csdnimg.cn/blog_migrate/659398ea5e5a7873cbd5b037b282feb1.png)
国内分布:
![3f4019f57ec254a4097b3ae8afde7667.png](https://i-blog.csdnimg.cn/blog_migrate/6a525f8b967b795794691cd968c8d4d1.png)
补丁下载:
用户可以登录Oracle官网下载安全更新补丁。
2
漏洞描述
根据分析,在Oracle WebLogic Server 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0版本中,默认开启的IIOP、T3协议再次发现反序列化漏洞,恶意攻击者可通过该漏洞进行远程代码执行攻击,从而获取目标系统管理权限,此漏洞利用难度低,威胁风险较大,建议部署该服务的用户尽快测试和部署漏洞修复补丁或采取缓解措施加固系统。
3
缓解措施
紧急:
目前漏洞细节和利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,安恒应急响应中心已经验证漏洞可以成功利用,建议及时测试并升级到漏洞修复的版本。
临时缓解加固措施:
使用连接筛选器临时阻止外部访问7001端口的T3/T3s协议
连接筛选器:weblogic.security.net.ConnectionFilterImpl
规则示例:
0.0.0.0/0 * 7001 deny t3 t3s #拒绝所有访问
允许和拒绝指定IP规则示例:
192.168.1.0/24 * 7001 allow t3 t3s #允许指定IP段访问
192.168.2.0/24 * 7001 deny t3 t3s #拒绝指定IP段访问
连接筛选器说明参考(英文):
https://docs.oracle.com/cd/E24329_01/web.1211/e24485/con_filtr.htm#SCPRG377
安全运营建议:
Oracle WebLogic历史上已经报过多个安全漏洞(其中多为反序列化漏洞),建议使用该产品的企业经常关注官方安全更新公告。
安恒应急响应中心
2020年7月
![3bd8eb8664eaad3ea2e8664939d4fd7a.gif](https://i-blog.csdnimg.cn/blog_migrate/4745b134a1015633056128f56f2bc700.gif)
![092ec0ec78f87307f26323debdae6630.gif](https://i-blog.csdnimg.cn/blog_migrate/0fc7ee467d76cd784ad79a3c60f71bb9.gif)
![959cce61aed61c38a8242f1e4cad5fc0.gif](https://i-blog.csdnimg.cn/blog_migrate/a9b18cec181a646022a80ed6c71e043f.gif)