weblogic basedoman 加载两个项目_WebLogic远程代码执行漏洞CVE202014825

漏洞概要

漏洞名称：WeblLogic远程代码执行漏洞CVE-2020-14825

威胁等级：高危

影响范围：

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

漏洞类型：远程代码执行

利用难度：简单

漏洞分析

2.1 WebLogic组件介绍

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic是商业市场上主要的Java(J2EE)应用服务器软件(application server)之一，是世界上第一个成功商业化的J2EE应用服务器，具有可扩展性，快速开发，灵活，可靠性等优势。

2.2 漏洞描述

此漏洞在Oracle官方在2020年10月份发布的最新安全补丁中披露。该漏洞允许未经身份验证的攻击者通过IIOP,T3进行网络访问，未经身份验证的攻击者成功利用此漏洞可能接管Oracle WebLogic Server。CVSS评分9.8。

2.3 漏洞分析

此漏洞与Oracle 7月份公布的CVE-2020-14645漏洞原理相似，CVE-2020-14825漏洞利用oracle.eclipselink.coherence.integrated.internal.cache.LockVersionExtractor作为gadget入口。LockVersionExtractor类继承ValueExtractor接口，并实现了extract方法，因此在gadget调用extract方法的流程与CVE-2020-14645漏洞相同。

重点关注oracle.eclipselink.coherence.integrated.internal.cache.LockVersionExtractor#extract方法内部的具体实现代码。漏洞点的触发是因为extract方法中调用了AttributeAccessor.getAttributeValueFromObject(arg0)方法。在Weblogic补丁中的黑名单还包括org.eclipse.persistence.internal.descriptors.MethodAttributeAccessor。在此类中实现了AttributeAccessor抽象类中的getAttributeValueFromObject方法。

漏洞的触发点位于this.getMethod.invoke(anObject, parameters);

其中anObject是在extract方法中传入的可控参数arg0。由于在LockVersionExtractor的extract方法中调用的是getAttributeValueFromObject(arg0)，因此invoke方法中的parameters为null，只能调用无参方法，这也和CVE-2020-14645的漏洞利用流程相同。

回到invoke方法，如果this.getMethod可控，就可以调用任意类的任意无参方法。

在MethodAttributeAccessor类中找到两个与getMethod相关的方法，这里重点关注下面的设置getMethodName属性的公有方法。

回到LockVersionExtractor#extract方法中，在调用getAttributeValueFromObject之前，会先调用this.accessor.initializeAttributes(arg0.getClass())方法。

在此方法中，通过反射获取getMethodName属性值对应的方法，并调用setGetMethod方法为getMethod属性赋值。由于getMethodName可控，因此getMethod属性也可以控制。攻击者可以通过控制getMethod和anObject完成jndi注入攻击。

2.4 漏洞复现

搭建漏洞环境，构造恶意的反序列化数据，通过T3发送到目标服务器，当目标服务器解析反序列化数据，会触发恶意代码执行，效果如图：

影响范围

目前受影响的Weblogic版本：

WebLogic Server 12.1.3.0.0

WebLogic Server 12.2.1.3.0

WebLogic Server 14.1.1.0.0

解决方案

4.1 修复建议

官方已经针对此漏洞发布补丁，请受影响的用户参考以下链接安装补丁更新：https://www.oracle.com/security-alerts/cpujul2020.html

4.2 临时修复建议

1.可通过关闭IIOP协议对此漏洞进行临时防御。操作如下：

在Weblogic控制台中，选择“服务”->”AdminServer”->”协议”，取消“启用IIOP”的勾选。并重启Weblogic项目，使配置生效。

2.对T3服务进行控制

控制T3服务的方法:

在上图这个weblogic界面中选择安全-筛选器，在下方出现的界面中找到“连接筛选器”，在里面输入

security.net.ConnectionFilterImpl

然后在连接筛选器规则中输入

127.0.0.1 * * allow t3 t3s，0.0.0.0/0 * * deny t3 t3s

最后保存并重启服务器即可生效。

4.2 深信服解决方案

【深信服下一代防火墙】可轻松防御此漏洞， 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则，可轻松抵御此高危风险。

【深信服云盾】已第一时间从云端自动更新防护规则，云盾用户无需操作，即可轻松、快速防御此高危风险。

【深信服安全感知平台】可检测利用该漏洞的攻击，实时告警，并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。对存在漏洞的用户，检查并更新了客户防护设备的策略，确保客户防护设备可以防御此漏洞风险。

时间轴

2020/10/20

Oracle发布2020年10月关键补丁更新公告，其中包括Weblogic组件CVE-2020-14825远程代码执行漏洞

2020/10/21

深信服千里目安全实验室监测并发布Oracle十月份高危漏洞安全公告

2020/10/22

深信服千里目安全实验室复现CVE-2020-14825漏洞，并发布漏洞分析文章

参考链接

https://www.oracle.com/security-alerts/cpujul2020.html

点击，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。