在Oracle官方发布的2020年1月关键补丁更新公告CPU(Critical Patch Update)中,公布了一个Weblogic WLS组件IIOP协议中的远程代码执行漏洞(CVE-2020-2551),此漏洞存在于WebLogic服务器的核心组件中,当WebLogic服务器处于默认设置时,不需要进行管理身份验证和额外的交互,就会触发此漏洞,从而产生广泛的影响。官方给出的CVSS 评分为 9.8。攻击者可以通过 IIOP 协议远程(互联网内部对象请求代理协议)访问 Weblogic Server 服务器上的远程接口,传入恶意数据,从而获取服务器权限并在无需授权的情况下远程执行任意代码。
IIOP: Internet Inter-ORB Protocol(互联网内部对象请求代理协议),它是一个用于CORBA 2.0及兼容平台上的协议,IIOP协议用于作为Java接口访问远程对象。默认情况下,它是启用的。
RMI: 用于不同虚拟机之间的通信,这些虚拟机可以在不同的主机上、也可以在同一个主机上;一个虚拟机中的对象调用另一个虚拟机中的对象的方法,只不过是允许被远程调用的对象要通过一些标志加以标识
CORBA: Common Object Request Broker Architecture(公共对象请求代理体系结构)是由OMG(Object Management Group)组织制定的一种标准分布式对象结构。使用平台无关的语言IDL(interface definition language)描述连接到远程对象的接口,然后将其映射到指定的语言实现。
影响版本
以下版本受CVE-2020-2551漏洞影响:
Oracle Weblogic Server 10.3.6.0.0(官方补丁已经发布)
Oracle Weblogic Server 12.1.3.0.0(官方补丁已经发布)
Oracle Weblogic Server 12.2.1.3.0(官方补丁已经发布)
Oracle Weblogic Server 12.2.1.4.0(官方补丁已经发布)
在OracleMiddlewareOracle_Homewlserverserverlib 中执行 java -cp weblogic.jar weblogic.version
如果在执行结果中没有显示补丁安装信息,那么你的WebLogic服务器就危险了
可以通过禁用IIOP协议来降低此漏洞的风险。要禁用IIOP协议,
执行以下步骤以禁用IIOP协议:
1、访问WebLogic服务器的管理控制台。
2、选择服务> AdminServer >协议
3、取消选择启用IIOP
4、重新启动WebLogic服务器以使设置生效。
。
Github上已经出来poc
附上链接
https://github.com/hktalent/CVE-2020-2551
有趣的是 下面图说明已经有人写出批量exp了(尽快升级 gkd)
我在本机上的验证该poc是否有效,此poc是有效的(weblogic 12.1.3)