9.8分 & 7.2分 啟明星辰為CVE高分漏洞提供解決方案

發布時間 2020-04-17

Oracle官方發布4月份安全補丁, 補丁中包含啟明星辰ADLab發現并第一時間提交給官方的漏洞,漏洞編號為CVE-2020-2798和CVE-2020-2801。其中,CVE-2020-2798 CVVS評分為7.2分,CVE-2020-2801漏洞等級為高危,CVVS評分為9.8分。


漏洞都與T3協議反序列化有關,利用漏洞攻擊者將生成的payload封裝在T3協議中,在反序列化過程中實現對存在漏洞的WebLogic組件進行遠程任意代碼攻擊。


漏洞利用


CVE-2020-2798

測試環境:WebLogic Server 10.3.6.0

漏洞利用效果:



CVE-2020-2798

測試環境:WebLogic Server 10.3.6.0

漏洞利用效果:



漏洞影響版本


Weblogic 10.3.6.0

Weblogic 12.1.3.0

Weblogic 12.2.1.3

Weblogic 12.2.1.4


解決方案


升級補丁

https://www.oracle.com/security-alerts/cpuapr2020.htm


控制T3協議的訪問

漏洞產生于Weblogic的T3服務,因此可通過控制T3協議的訪問來臨時阻斷針對漏洞的攻擊。當開放Weblogic控制臺端口(默認為7001端口)時,T3服務會默認開啟。


具體操作:


1)進入WebLogic控制臺,在base_domain的配置頁面中,進入“安全”選項卡頁面,點擊“篩選器”,進入連接篩選器配置。

2)在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl,在連接篩選器規則中輸入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s協議的所有端口只允許本地訪問)。

3)保存后需重新啟動,規則方可生效。



產品檢測與防護


已部署啟明星辰IDS、IPS、WAF產品的客戶請確認如下事件規則已經下發并應用,即可有效檢測或阻斷攻擊:


TCP_Oracle_Weblogic_遠程代碼執行漏洞[CVE-2020-2798]

TCP_Oracle_Weblogic_遠程代碼執行漏洞[CVE-2020-2801


(1)天闐入侵檢測與管理系統報警截圖:



(2)天清入侵防御系統報警截圖:



(3)天清Web應用安全網關報警截圖: