【原創漏洞】Weblogic 反序列化漏洞通告(CVE-2020-2798 、CVE-2020-2801)

發布時間 2020-04-15

漏洞概述


Oracle官方發布4月份安全補丁, 補丁中包含啟明星辰ADLab發現并第一時間提交給官方的漏洞,漏洞編號為CVE-2020-2798和CVE-2020-2801。其中,CVE-2020-2798 CVVS評分為7.2分,CVE-2020-2801漏洞等級為高危,CVVS評分為9.8分。

CVE-2020-2798和CVE-2020-2801漏洞都與T3協議反序列化有關,利用漏洞攻擊者將生成的payload封裝在T3協議中,在反序列化過程中實現對存在漏洞的WebLogic組件進行遠程任意代碼攻擊。


漏洞時間軸


2019年12月,ADLab將漏洞詳情提交給Oracle官方;

2020年1月6日,Oracle官方確認漏洞存在并開始著手修復;


2020年4月14日,Oracle官方發布安全補丁。


漏洞影響版本


Weblogic 10.3.6.0

Weblogic 12.1.3.0

Weblogic 12.2.1.3

Weblogic 12.2.1.4


以上均為官方支持的版本。


漏洞利用


1、CVE-2020-2798

測試環境:WebLogic Server 10.3.6.0

漏洞利用效果:



2、CVE-2020-2798

測試環境:WebLogic Server 10.3.6.0

漏洞利用效果:



規避方案


1、升級補丁

https://www.oracle.com/security-alerts/cpuapr2020.html


2、控制T3協議的訪問

漏洞產生于Weblogic的T3服務,因此可通過控制T3協議的訪問來臨時阻斷針對漏洞的攻擊。當開放Weblogic控制臺端口(默認為7001端口)時,T3服務會默認開啟。


具體操作:

1)進入WebLogic控制臺,在base_domain的配置頁面中,進入“安全”選項卡頁面,點擊“篩選器”,進入連接篩選器配置。

2)在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl,在連接篩選器規則中輸入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s協議的所有端口只允許本地訪問)。

3)保存后需重新啟動,規則方可生效。