首頁 > 安全研究 > 安全通報 > 安全通告

WebLogic T3協議反序列化 0day 漏洞

發布時間 2021-04-19

0x00 漏洞概述

CVE  ID


時   間

2021-04-19

類   型

RCE

等   級

高危

遠程利用

影響范圍


PoC/EXP

已公開

在野利用

 

0x01 漏洞詳情

image.png

 

近日,WebLogic被披露存在一個T3協議反序列化0 day漏洞,攻擊者可利用此漏洞造成遠程代碼執行,目前該漏洞處于在野0day狀態,并且PoC/EXP已在Github上公開。

在該漏洞的poc中,使用了java.rmi.MarshalledObject類,并將objBytes屬性作為反序列化的流,從中解析對象,可以通過把objBytes替換為指定反序列化就可以實現weblogic黑名單繞過。

image.png

 

0x02 處置建議

建議將jdk升級到最新版本,并禁用iiop/t3協議以作為臨時緩解措施。

禁用T3協議,具體操作如下:

1)進入WebLogic控制臺,在base_domain的配置頁面中,進入“安全”選項卡頁面,點擊“篩選器”,進入連接篩選器配置。

2)在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl,在連接篩選器規則中輸入:127.0.0.1 * * allow t3t3s,0.0.0.0/0 * *deny t3 t3s(t3和t3s協議的所有端口只允許本地訪問)。

3)保存后需重新啟動,規則方可生效。

image.png

 

 

禁用IIOP協議,具體操作如下:

登陸WebLogic控制臺,base_domain >服務器概要 >AdminServer

image.png

 

下載鏈接:

https://www.oracle.com/cn/java/technologies/javase/javase-jdk8-downloads.html

 

0x03 參考鏈接

https://github.com/hhroot/2021_Hvv/commit/8dcfdd7786ded69f404d52a162a8c4dfcbfd34b9

https://www.oracle.com/cn/java/technologies/javase/javase-jdk8-downloads.html

 

0x04 時間線

2021-04-18  研究人員披露漏洞

2021-04-19  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

上一篇 下一篇