长亭百川云 - 文章详情

靖云甲ADR捕获WebLogic远程代码执行0day漏洞

边界无限

64

2024-07-24

WebLogic 是在金融、运营商、能源、中央企业、大型企业中常用的中间件,也是安全研究的重点关注对象,其覆盖的应用系统数量极多,且多数应用皆会对外提供服务,此类大型中间件的漏洞可谓是进攻利器。

为了应对日新月异的攻击手段以及第三方外采系统、老旧业务系统防护难等问题,很多客户选择边界无限为Web应用套上“靖云甲”,该方案基于应用运行时自防护——RASP技术,专门针对应用和Java中间件进行重点防御,给用户的应用增加最后一道防线,使其免受应用层的0day漏洞和内存马攻击。

近期在某金融行业客户的现场,靖云甲ADR捕获到了反序列化与命令执行相关的攻击告警,最初我们认为是一个常见的漏洞利用告警,但是随着排查并深入分析告警信息,其攻击执行是通过Weblogic IIOP协议的反序列化漏洞进行操作的,并且从调用链来看攻击者挖掘到了新的漏洞利用入口,攻击手法可无视官方最新提供的反序列化黑名单,最终可利用该漏洞实现远程代码执行。

目前靖云甲ADR已经协助用户捕获了相关Weblogic漏洞利用。目前近期部署的靖云甲ADR工具无需升级便可检测和防御该漏洞的利用,用户可部署靖云甲ADR来防御该漏洞的攻击。

漏洞信息

**漏洞类型:**远程代码执行

**漏洞等级:**高危

**漏洞所需权限:**无权限需求

攻击者可以利用Weblogic暴露的IIOP协议进行反序列化,实现远程代码执行,获取服务器权限。下面为靖云甲ADR完整捕获流程,可以看到攻击者首先进行了反序列化操作,然后利用反序列化进行命令执行。

图一 反序列化漏洞利用告警

图二 远程命令执行告警

漏洞利用条件

1.Weblogic对外开放IIOP协议访问;

2.整个漏洞利用过程无需出网。

漏洞影响范围

版本≤ WebLogic Server 12.2.1.4.0

版本≤ WebLogic Server 14.1.1.0.0

修复方案

1.临时缓解措施:禁用 T3/IIOP 协议,或针对白名单IP进行开放;

2.安装基于RASP技术的靖云甲ADR,可天然免疫该漏洞攻击。


相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2