【漏洞预警】WebLogic Server 高危安全漏洞风险提示(4月)

发布者:李雪娇发布时间:2021-04-23浏览次数:982

WebLogic Server 高危安全漏洞风险提示(4月):

 

【漏洞公告】

2021420日,Oracle官方发布了20214月安全更新公告,包含了其家族WebLogic Server在内的多个产品安全漏洞公告,其中有涉及HTTPIIOPT3协议包括远程代码执行等多个高危漏洞,对应CVE编号:CVE-2021-2135CVE-2021-2136CVE-2021-2157    CVE-2021-2211,相关链接参考:

https://www.oracle.com/security-alerts/cpuapr2021.html

漏洞风险矩阵参考(直接筛选CVE编号查询简约漏洞描述):https://www.oracle.com/security-alerts/cpujan2021verbose.html

根据公告,通过Oracle WebLogic Server IIOPT3协议漏洞,恶意攻击者能实现远程代码执行效果,从而获取目标系统管理权限,建议部署该服务的用户尽快测试,和部署漏洞修复补丁或采取缓解措施加固系统。

Oracle历史安全漏洞公告参考:https://www.oracle.com/security-alerts/

 

【影响范围】

CVE-2021-2135CVE-2021-2136漏洞影响以下Oracle WebLogic Server版本:

WebLogic Server 12.1.3.0.0版本

WebLogic Server 12.2.1.3.0版本

WebLogic Server 12.2.1.4.0版本

WebLogic Server 14.1.1.0.0版本

 

CVE-2021-2157漏洞影响以下Oracle WebLogic Server版本:

WebLogic Server 10.3.6.0.0版本

WebLogic Server 12.1.3.0.0版本

WebLogic Server 12.2.1.3.0版本

WebLogic Server 12.2.1.4.0版本

 

CVE-2021-2211漏洞影响以下Oracle WebLogic Server版本:

WebLogic Server 10.3.6.0.0版本

WebLogic Server 12.1.3.0.0版本

WebLogic Server 12.2.1.4.0版本

WebLogic Server 14.1.1.0.0版本

 

【漏洞描述】

CVE-2021-2135CVE-2021-2136根据分析,该漏洞为远程代码执行漏洞, 未经身份验证的攻击者发送恶意构造的T3IIOP协议请求,可在目标服务器上执行任意代码,可导致服务器被黑客控制。CVE-2021-2157为未授权访问漏洞,未经身份验证的攻击者可利用该漏洞访问服务器敏感数据。CVE-2021-2211XXE漏洞,未经身份验证的攻击者可利用该漏洞读取服务器敏感信息,可造成敏感信息泄露。因以上漏洞利用难度低,威胁风险较大,建议部署该服务的用户尽快测试,和部署漏洞修复补丁或采取缓解措施加固系统。

 

【漏洞检测】

本地检测

查看Weblogic版本和补丁安装的情况。

 

上图目标中,Weblogic版本在漏洞影响范围内且未对系统安装相应补丁,则说明存在风险。

T3协议检测

Nmap工具提供了Weblogic T3协议的扫描脚本,名称为weblogic-t3-info.nse。使用方式如下图所示:

 

上图目标中开启了T3协议,Weblogic版本在漏洞影响范围内且未对系统安装相应补丁,则说明存在风险。

 

【缓解措施】

紧急:目前部分漏洞细节和利用代码已小范围公开,安恒应急响应中心已验证漏洞的可利用性,建议及时测试并升级到漏洞修复的版本。

官方修复建议

目前Oracle已发布升级补丁修复了上述漏洞,请用户参考官方通告及时下载更新补丁,并参照补丁包中的readme文件进行安装。

补丁获取链接:https://www.oracle.com/security-alerts/cpujan2021.html

临时缓解措施

如果用户暂时无法安装补丁且非必须开启T3协议与IIOP协议,可通过限制T3协议访问和禁用IIOP协议。

限制T3协议访问

1. 进入Weblogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。

 

2.在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,参考以下写法,在连接筛选器规则中配置符合企业实际情况的规则:

规则示例:

0.0.0.0/0 * 7001 deny t3 t3s       #拒绝所有访问

允许和拒绝指定IP规则示例:

192.168.1.0/24 * 7001 allow t3 t3s   #允许指定IP段访问

192.168.2.0/24 * 7001 deny t3 t3s    #拒绝指定IP段访问

连接筛选器说明参考(英文):

https://docs.oracle.com/cd/E24329_01/web.1211/e24485/con_filtr.htm#SCPRG377

 

保存后若规则未生效,建议重新启动Weblogic服务(重启Weblogic服务会导致业务中断,建议相关人员评估风险后,再进行操作)。以Linux环境为例,重启服务的步骤如下:

1、进入Oracle/Middleware/user_projects/domains/base_domain/bin 目录下,执行stopWebLogic.sh

 

2、待终止脚本执行完成后,再运行startWebLogic.sh文件启动Weblogic,即可完成Weblogic服务重启。

禁用IIOP协议

Weblogic控制台中,选择“base_domain->“监视”->AdminServer”,取消“启用IIOP”的勾选。并重启Weblogic项目,使配置生效。

 

进入AdminServer-> “协议”->IIOP”中,取消“启用IIOP”的勾选。并重启Weblogic项目,使配置生效。

 

安全运营建议Oracle WebLogic历史上已经报过多个安全漏洞(其中多为反序列化漏洞),建议使用该产品的企业经常关注官方安全更新公告。