【原創漏洞】Weblogic 反序列化漏洞通告(CVE-2020-2798 、CVE-2020-2801)
發布時間 2020-04-15漏洞概述
Oracle官方發布4月份安全補丁, 補丁中包含啟明星辰ADLab發現并第一時間提交給官方的漏洞,漏洞編號為CVE-2020-2798和CVE-2020-2801。其中,CVE-2020-2798 CVVS評分為7.2分,CVE-2020-2801漏洞等級為高危,CVVS評分為9.8分。
CVE-2020-2798和CVE-2020-2801漏洞都與T3協議反序列化有關,利用漏洞攻擊者將生成的payload封裝在T3協議中,在反序列化過程中實現對存在漏洞的WebLogic組件進行遠程任意代碼攻擊。
漏洞時間軸
2019年12月,ADLab將漏洞詳情提交給Oracle官方;
2020年1月6日,Oracle官方確認漏洞存在并開始著手修復;
2020年4月14日,Oracle官方發布安全補丁。
漏洞影響版本
Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.3
Weblogic 12.2.1.4
以上均為官方支持的版本。
漏洞利用
1、CVE-2020-2798
測試環境:WebLogic Server 10.3.6.0
漏洞利用效果:
2、CVE-2020-2798
測試環境:WebLogic Server 10.3.6.0
漏洞利用效果:
規避方案
1、升級補丁
https://www.oracle.com/security-alerts/cpuapr2020.html
2、控制T3協議的訪問
漏洞產生于Weblogic的T3服務,因此可通過控制T3協議的訪問來臨時阻斷針對漏洞的攻擊。當開放Weblogic控制臺端口(默認為7001端口)時,T3服務會默認開啟。
具體操作:
1)進入WebLogic控制臺,在base_domain的配置頁面中,進入“安全”選項卡頁面,點擊“篩選器”,進入連接篩選器配置。
2)在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl,在連接篩選器規則中輸入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s協議的所有端口只允許本地訪問)。
3)保存后需重新啟動,規則方可生效。