1、基本情况
近日,监测发现Oracle WebLogic远程命令执行漏洞最新利用代码,并绕过了官方4月底的最新安全补丁(CVE-2019-2725)。由于应用在处理反序列化输入信息时存在缺陷,攻击者可以发送精心构造的恶意HTTP请求,获得目标服务器的权限,在未授权的情况下远程执行命目前,该漏洞属于0day,官方尚末给出任何补丁。
2、攻击原理
WebLogic是美国Oracle公司出品的Java应用服务器,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。攻击者可利用该漏洞在未授权的情况下远程执行命令。和CNVD-C-2019-48814不同,该漏洞可以绕过最新的补丁。由于weblogic使用人数众多,其中包含一些重要单位,且目前官方未发布相关补丁,所以漏洞危害非常严重。希望相关用户采取下方的临时修复方案进行应急。
3、影响范围
受影响的版本:
WebLogic 10.X
WebLogic 12.1.3
4、处置建议
目前,Oracle官方暂未发布补丁,临时解决方案如下:
1) 配置URL访问控制策略
部署于公网的WebLogic服务器,可通过ACL禁止对/async/及/wls-wsaty/*路径的访问
2) 删除不安全文件
删除wls9_async_response.war 与wls-wsat.war文件及相关文件夹,并重启Weblogic服务。
具体文件路径如下:
10.3.*版本:
\Middleware\wlserver_10.3\serverlib\
%DOMAIN_HOME%\servers\AdminServer\tmp\LWLinternal\
%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
12.1.3版本:
\Middleware\Oracle._Home\oracle.common\modules\
%DOMAIN_HOMES\servers\AdminServer\tmp\internal\
%DOMAIN_HOME%\servers\AdminServer\tmp\WLinternal\
建议使用WebLogic Server 构建网站的信息系统运营者进行自查,发现存在漏洞后,按照临时解决方案及时进行修复。请密切关注Oracle官方补丁通告。
5、参考链接
1) http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2725