首頁 > 安全研究 > 研究報告 > 安全漏洞分析

【原創漏洞】WebLogic 反序列化RCE漏洞通告(CVE-2021-2135)

發布時間 2021-04-22

漏洞概述


Oracle官方發布了4月份的安全補丁, 補丁中包含啟明星辰ADLab發現并第一時間提交給官方的漏洞,漏洞編號為CVE-2021-2135。漏洞等級為高危,CVVS評分為9.8分。該漏洞存在于WebLogicT3協議或IIOP協議的通信過程中,通過該漏洞,攻擊者將生成的payload封裝在T3協議或IIOP協議中,在反序列化過程中實現對存在漏洞的WebLogic組件的遠程任意代碼執行攻擊。


漏洞時間軸


2021年2月,將漏洞詳情提交給官方;

2021年3月,確認漏洞存在并開始著手修復;

2021年4月21日,官方發布正式補丁。


影響版本


Weblogic 12.1.3.0.0

Weblogic 12.2.1.3.0

Weblogic 12.2.1.4.0

Weblogic 14.1.1.0.0

以上均為官方支持的版本


漏洞利用


測試環境:Weblogic Server 12.2.1.3

漏洞利用效果:


1.png


規避方案


1、升級補丁

https://www.oracle.com/security-alerts/cpuapr2021.html


2、控制T3協議的訪問

此漏洞產生于WebLogic的T3服務,因此可通過控制T3協議的訪問來臨時阻斷針對該漏洞的攻擊。當開放WebLogic控制臺端口(默認為7001端口)時,T3服務會默認開啟。
具體操作:a)進入WebLogic控制臺,在base_domain的配置頁面中,進入“安全”選項卡頁面,點擊“篩選器”,進入連接篩選器配置。

b)在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl,在連接篩選器規則中輸入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s協議的所有端口只允許本地訪問)。

c)保存后需重新啟動,規則方可生效。


2.png



啟明星辰積極防御實驗室(ADLab)


ADLab成立于1999年,是中國安全行業最早成立的攻防技術研究實驗室之一,微軟MAPP計劃核心成員,“黑雀攻擊”概念首推者。截止目前,ADLab已通過CVE累計發布安全漏洞近1100個,通過 CNVD/CNNVD累計發布安全漏洞1000余個,持續保持國際網絡安全領域一流水準。實驗室研究方向涵蓋操作系統與應用系統安全研究、智能終端安全研究、物聯網智能設備安全研究、Web安全研究、工控系統安全研究、云安全研究。研究成果應用于產品核心技術研究、國家重點科技項目攻關、專業安全服務等。


adlab.jpg

上一篇 下一篇