近日,cnvd安全公告中披露了一则weblogic wls-async 反序列化远程命令执行漏洞(cnvd-c-2019-48814)。漏洞定级为 high,属于高危漏洞。该漏洞本质是由于 wls9-async组件在反序列化处理输入信息时存在缺陷,未经授权的攻击者可以发送精心构造的恶意 http 请求,获取服务器权限,实现远程命令执行。
深信服安全团队及时响应并发布凯发登录的解决方案,提醒weblogic 用户修复漏洞,防范攻击。
漏洞名称:weblogic wls-async 反序列化远程命令执行漏洞
漏洞类型:远程执行漏洞
影响范围:weblogic 10.*、12.1.3
威胁等级:高危
利用程度:容易
漏洞分析
1. weblogic组件介绍
weblogic是美国oracle公司出品的一个application server,确切的说是一个基于javaee架构的中间件,是用于开发、集成、部署和管理大型分布式web应用、网络应用和数据库应用的java应用服务器。
weblogic将java的动态功能和java enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。是商业市场上主要的java(j2ee)应用服务器软件(application server)之一,是世界上第一个成功商业化的j2ee应用服务器,具有可扩展性,快速开发,灵活,可靠性等优势。
2. 漏洞描述
cnvd-c-2019-48814漏洞主要是利用了weblogic中的wls9-async组件,攻击者可以在
/_async/asyncresponseservice路径下传入恶意的xml格式的数据,传入的数据在服务器端反序列化时,执行其中的恶意代码,实现远程命令执行,攻击者可以进而获得整台服务器的权限。
3. 漏洞复现
下载weblogic10.3.6.0版本作为靶机。并对外开放/_async/asyncresponseservice路径。
传入构造好的xml数据进行攻击,如下图:
▲漏洞复现
影响范围
目前据统计,在全球范围内对互联网开放weblogic的资产数量多达35,894台,其中归属中国地区的受影响资产数量为1万以上。
本次漏洞影响的weblogic版本:
weblogic 10.*、12.1.3.0
凯发登录的解决方案
1.漏洞检测防御
深信服云眼在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。
注册地址:
深信服云镜在漏洞爆发第一时间就完成从云端下发本地检测更新,部署云镜的用户只需选择紧急漏洞检测,即可轻松、快速检测此高危风险。
深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。
深信服云盾已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。
2. 修复建议
官方暂未发布针对此漏洞的修复补丁,在官方修复之前,可以采取以下方式进行临时防护:
(1)配置url访问策略
通过访问控制策略禁止对/_async/*路径的访问。
(2)删除war文件及相关文件夹,并重启weblogic服务。
具体路径如下:
版本号为10.3.*:
\middleware\wlserver_10.3\server\lib\bea_wls9_async_response.war
%domain_home%\servers\adminserver\tmp\_wl_internal\bea_wls9_async_response\
%domain_home%\servers\adminserver\tmp\.internal\bea_wls9_async_response.war
版本号为12.1.3:
\middleware\oracle_home\oracle_common\modules\com.oracle.webservices.wls.bea-wls9-async-response_12.1.3.war
%domain_home%\servers\adminserver\tmp\.internal\com.oracle.webservices.wls.bea-wls9-async-response_12.1.3.war
%domain_home%\servers\adminserver\tmp\_wl_internal\com.oracle.webservices.wls.bea-wls9-async-response_12.1.3