首頁 > 關于我們 > 新聞動態 > 公司新聞

WebLogic遠程Blind XXE高危漏洞 啟明星辰提供解決方案

發布時間 2019-04-19
WebLogic是Oracle公司出品的一個基于JAVAEE架構的中間件,WebLogic是用于開發、集成、部署和管理大型分布式Web應用、網絡應用和數據庫應用的Java應用服務器。

2019年4月17日,Oracle官方發布4月份安全補丁, 補丁中包含啟明星辰ADLab發現并第一時間提交給Oracle官方的WebLogic Blind XXE漏洞,漏洞編號為CVE-2019-2647。利用該漏洞,攻擊者可以在未授權的情況下將payload封裝在T3協議中,通過對T3協議中的payload進行反序列化,從而實現對存在漏洞的WebLogic組件進行遠程Blind XXE攻擊。該漏洞影響范圍廣泛,建議廣大用戶及時采取應對措施,以免遭受黑客攻擊。

詳細內容可參考ADLab分析:
https://mp.weixin.qq.com/s/ded-kzmApHk_EsJakeSwpg

漏洞影響版本


WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3
 

漏洞驗證


測試環境:
WebLogic Server 10.3.6.0(打補p28343311_1036_Generic)
漏洞利用效果:

 

解決方案


1、官方建議


? 升級補丁


Oracle官方更新鏈接地址:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html。

? 控制T3協議的訪問


WebLogic Blind XXE漏洞產生于WebLogic的T3服務,因此可通過控制T3協議的訪問來臨時阻斷針對該漏洞的攻擊。當開放WebLogic控制臺端口(默認為7001端口)時,T3服務會默認開啟。

(1)進入WebLogic控制臺,在base_domain配置頁面中,進入安全選項卡頁面,點擊篩選器,配置篩選器。

(2)在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl,在連接篩選器規則中輸入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s協議的所有端口只允許本地訪問)。

(3)保存后需重新啟動,規則方可生效。


2、漏洞掃描


啟明星辰天鏡脆弱性掃描與管理系統V6.0于2019年4月18日緊急發布針對該漏洞的升級包,支持對該漏洞進行檢測,用戶升級天鏡漏掃產品漏洞庫后即可對該漏洞進行掃描。6070版本升級包為607000214,升級包下載地址:
https://www.venustech.com.cn/article/type/1/146.html

請天鏡脆弱性掃描與管理系統V6.0產品的用戶盡快升級到最新版本,及時對該漏洞進行檢測,以便盡快采取防范措施。

 
3、產品檢測與防護


已部署啟明星辰IDS、IPS、WAF產品的客戶請確認如下事件規則已經下發并應用,即可有效檢測或阻斷攻擊。

HTTP_Weblogic_任意文件讀取漏洞[CVE-2019-2615]
HTTP_WebLogic_任意文件上傳漏洞[CVE-2019-2618]
HTTP_WebLogic_Blind_XXE注入漏洞[CVE-2019-2647]

上一篇 下一篇