长亭百川云 - 文章详情

漏洞风险提示 | WebLogic多个高危漏洞

CT Stack

38

2023-04-20

事件来源

漏洞详情:Oracle WebLogic ForeignOpaqueReference T3/IIOP 反序列化漏洞(CVE-2023-21979)
官方在 4 月 19 日发布了重要补丁更新 CPU(Critical Patch Update),其中修复了存在于Oracle WebLogic Server 中的多个高危漏洞:
https://www.oracle.com/security-alerts/cpuapr2023.html

漏洞描述

此次 Oracle 安全更新修复了存在于 WebLogic 中的高危漏洞包括:

CVE编号影响组件协议CVSS评分
CVE-2023-21996Web ServicesHTTP7.5
CVE-2023-21931CoreT37.5
CVE-2023-21964CoreT37.5
CVE-2023-21979CoreT37.5
CVE-2023-21956Web ContainerHTTP6.1
CVE-2023-21960CoreHTTP5.6

其中CVE-2023-21931 和CVE-2023-21979 为 WebLogic Server T3 和 IIOP 协议中的高危漏洞(长亭科技技术人员已确认,这两个漏洞并非只影响官方公告里所描述的 T3 协议),攻击者可在远程且未经授权的状态下通过T3 / IIOP 协议交互利用此漏洞,在服务端执行任意恶意代码,获取系统权限。
CVE-2023-21996为WebLogic Web Services 组件中的漏洞,攻击者可在远程且未经授权的状态下通过HTTP 协议交互利用这些漏洞。但目前相关漏洞均暂无任何公开细节。

远程检测工具:

复制链接:https://stack.chaitin.com/tool/detail?id=1 前往xray - CT Stack 安全社区下载最新版本xray。
执行:./xray ss -m weblogic -t ip:port 即可扫描。注意,检测该漏洞需要配置反连平台。

影响范围

CVE编号影响版本
CVE-2023-2199612.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2023-2193112.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2023-2196412.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2023-2197912.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2023-2195612.2.1.4.0, 14.1.1.0.0
CVE-2023-2196012.2.1.3.0, 12.2.1.4.0

解决方案

使用 Oracle 官方安全补丁进行更新修复:
https://www.oracle.com/security-alerts/cpuapr2023.html
另外针对CVE-2023-21931 和CVE-2023-21979 这两个漏洞,用户还需要更新 Java 版本才修复完全(Java > 8u191)。对于无法更新 Java 版本或漏洞补丁的用户,建议不要将 WebLogic T3/IIOP 协议服务暴露在不可信网络中,可在确认不影响业务的情况下可以考虑配置 WebLogic 对外部禁用 T3、IIOP 协议。
配置 WebLogic 对外部禁用 T3 协议的具体步骤:
登入 WebLogic 控制台,在对应域设置中选择 “安全”-“筛选器” 选项卡:

在 “连接筛选器” 输入框中输入:
weblogic.security.net.ConnectionFilterImpl
在 “连接筛选器规则” 输入框中输入(即配置为仅允许本机使用 T3/T3S 协议通信,禁用除本机以外其他主机使用 T3/T3S 协议通信):
127.0.0.1 * * allow t3 t3s
0.0.0.0/0 * * deny t3 t3s
输入后保存提交即可。
配置 WebLogic 禁用 IIOP 协议的具体步骤:
登入 WebLogic 控制台,在对应域设置中选择 “环境”-“服务器”,并选中要设置的服务器。然后在对应服务器设置中选择 “协议”-“IIOP” 选项卡,并取消 “启用IIOP” 前面的勾选:

保存后,重启服务器使设置生效。

产品支持

全悉: 默认支持该漏洞利用行为的检测。
洞鉴:支持通过升级应急版本的方式进行检测。
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测。
洞鉴:

参考资料

https://www.oracle.com/security-alerts/cpuapr2023.html

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2