weblogic t3协议配置_腾讯蓝军安全通告:WebLogic远程代码执行漏洞(CVE202014645)

124a9191b41214f76dffdd30a443d88e.gif

漏洞描述

今日,Oracle官方发布WebLogic安全更新,其中修复了一个CVSS评分为9.8的严重漏洞(CVE-2020-14645),该漏洞通过T3协议进行利用,攻击者可以实现远程代码执行,进而控制服务器。由于漏洞利用复杂度低,风险高,建议尽快修复。

发现过程

腾讯蓝军(Tencent Force)在测试WebLogic历史漏洞时发现补丁修复不全面,Oracle Coherence存在绕过方式。

影响情况

影响版本:

Oracle WebLogic Server 12.2.1.4

利用条件:

开放T3协议默认即可被利用

影响数量:

我们使用知道创宇ZoomEye快速检索发现有10万多个WebLogic服务在公网开放(中国约占五分之一),其中有一部分没禁用T3协议,ZoomEye网络空间搜索能力很好的让我们可以快速初步评估受影响量级。

自查方法

WebLogic是Oracle公司出品的用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器,全球使用广泛。WebLogic的远程方法调用RMI通信使用T3协议,而T3协议与HTTP协议复用7001端口,默认同时开启。我们可以通过Nmap检测自己资产是否有开放T3协议及WebLogic版本信息:

nmap -n -v -Pn –sV IP地址 -p 端口 --script=/usr/share/nmap/scripts/weblogic-t3-info.nse

PORT     STATE SERVICE

7001/tcp open  afs3-callback

|_weblogic-t3-info: T3 protocol in use (WebLogic version: 12.2.1.4)

漏洞利用

b7b131c14bdb3dfd6db877d34e19df89.png

规避方案

1、安装官方补丁

https://www.oracle.com/security-alerts/cpujul2020.html

2、限制T3访问来源

漏洞产生于WebLogic默认启用的T3协议,因此可通过限制T3访问来源来阻止攻击。

风险总结

对于利用WebLogic T3协议进行反序列化执行任意代码的问题,Oracle一直采用黑名单进行修复,只能防御已知的反序列化攻击链,而新的反序列化攻击链不断被挖掘出来,黑名单不断被绕过,建议务必限制T3访问来源,减少攻击面。

目前腾讯的流量、主机、扫描器等安全系统已具备检测防护能力。

时间线

2020/04/26

腾讯蓝军lufei将漏洞详情提交给Oracle官方

2020/07/11

Oracle官方确认编号CVE-2020-14645

2020/07/15

Oracle官方发布WebLogic安全补丁

2020/07/15

腾讯蓝军发布安全通告

9143cfabbd415fa5897b64e847176d9b.png

我们是TSRC

互联网安全的守护者

用户数据安全的保卫者

我们找漏洞、查入侵、防攻击

与安全行业精英携手共建互联网生态安全

期待正能量的你与我们结盟!

微信号:tsrc_team

4c299aabab15a81ef4c47628887f4dff.png
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值