大家好,我是ABC_123。一年一度的大考就要开始了,坊间传闻weblogic中间件爆出了0day或者1day漏洞,这里ABC_123给大家提供一个临时的漏洞修补方案。
最近几年的weblogic反序列化漏洞都与T3和IIOP协议相关,所以还是建议禁用T3和IIOP协议,但是网上很多禁用方法不对,ABC_123给大家介绍一下正确操作方法。
进入weblogic的后台之后,选择“安全”—“筛选器”,在“连接筛选器规则”输入
weblogic.security.net.ConnectionFilterImpl
连接筛选器规则中输入:
127.0.0.1 * * allow t3 t3s
0.0.0.0/0 * * deny t3 t3s
最后重启weblogic项目。
经过测试,10.x版本的weblogic禁用T3需要重启,否则不会生效;12.x版本不需要重启,点击“保存”即可立即生效。
进入weblogic的后台之后,选择“base_domain”—“环境”—“服务器”,然后在对应服务器设置中选择 “协议”—“IIOP” 选项卡,取消 “启用IIOP” 前面的勾选,然后重启weblogic项目。
经过ABC_123测试,几乎所有版本的weblogic,彻底禁用IIOP协议需要重启,否则即使点击了“保存”,也不会生效。禁用T3、IIOP协议之后,红队工具检测如下,提示filter blocked Socket。
借助安全设备、防火墙策略屏蔽T3及IIOP协议;也可以在Weblogic前面放置一个Nginx,只对HTTP协议进行转发,对T3协议及IIOP协议不进行转发,但是这种方法只能杜绝外网攻击,无法杜绝内网横向中对于Weblogic反序列化漏洞的利用。
公众号专注于网络安全技术,包括安全咨询、APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,99%原创,敬请关注。
Contact me: 0day123abc#gmail.com
(replace # with @)
