WebLogic遠程Blind XXE高危漏洞 啟明星辰提供解決方案
發布時間 2019-04-192019年4月17日,Oracle官方發布4月份安全補丁, 補丁中包含啟明星辰ADLab發現并第一時間提交給Oracle官方的WebLogic Blind XXE漏洞,漏洞編號為CVE-2019-2647。利用該漏洞,攻擊者可以在未授權的情況下將payload封裝在T3協議中,通過對T3協議中的payload進行反序列化,從而實現對存在漏洞的WebLogic組件進行遠程Blind XXE攻擊。該漏洞影響范圍廣泛,建議廣大用戶及時采取應對措施,以免遭受黑客攻擊。
詳細內容可參考ADLab分析:
https://mp.weixin.qq.com/s/ded-kzmApHk_EsJakeSwpg
漏洞影響版本
WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3
漏洞驗證
測試環境:
WebLogic Server 10.3.6.0(打補p28343311_1036_Generic)
漏洞利用效果:

解決方案
1、官方建議
? 升級補丁
Oracle官方更新鏈接地址:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html。
? 控制T3協議的訪問
WebLogic Blind XXE漏洞產生于WebLogic的T3服務,因此可通過控制T3協議的訪問來臨時阻斷針對該漏洞的攻擊。當開放WebLogic控制臺端口(默認為7001端口)時,T3服務會默認開啟。
(1)進入WebLogic控制臺,在base_domain配置頁面中,進入安全選項卡頁面,點擊篩選器,配置篩選器。
(2)在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl,在連接篩選器規則中輸入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s協議的所有端口只允許本地訪問)。
(3)保存后需重新啟動,規則方可生效。
2、漏洞掃描
啟明星辰天鏡脆弱性掃描與管理系統V6.0于2019年4月18日緊急發布針對該漏洞的升級包,支持對該漏洞進行檢測,用戶升級天鏡漏掃產品漏洞庫后即可對該漏洞進行掃描。6070版本升級包為607000214,升級包下載地址:
https://www.venustech.com.cn/article/type/1/146.html
請天鏡脆弱性掃描與管理系統V6.0產品的用戶盡快升級到最新版本,及時對該漏洞進行檢測,以便盡快采取防范措施。

3、產品檢測與防護
HTTP_Weblogic_任意文件讀取漏洞[CVE-2019-2615]
HTTP_WebLogic_任意文件上傳漏洞[CVE-2019-2618]
HTTP_WebLogic_Blind_XXE注入漏洞[CVE-2019-2647]