關(guān)于Oracle WebLogic wls9-async組件存在反序列化遠(yuǎn)程命令執(zhí)行漏洞的安全公告

2019年4月17日，國家信息安全漏洞共享平臺(tái)（CNVD）收錄了由中國民生銀行股份有限公司報(bào)送的Oracle WebLogic wls9-async反序列化遠(yuǎn)程命令執(zhí)行漏洞（CNVD-C-2019-48814）。攻擊者利用該漏洞，可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令。目前，官方補(bǔ)丁尚未發(fā)布，漏洞細(xì)節(jié)未公開。
 

一、漏洞情況分析

WebLogic Server是美國甲骨文（Oracle）公司開發(fā)的一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)中間件，它提供了一個(gè)現(xiàn)代輕型開發(fā)平臺(tái)，支持應(yīng)用從開發(fā)到生產(chǎn)的整個(gè)生命周期管理，并簡(jiǎn)化了應(yīng)用的部署和管理。

部分版本W(wǎng)ebLogic中默認(rèn)包含的wls9_async_response包，為WebLogic Server提供異步通訊服務(wù)。由于該WAR包在反序列化處理輸入信息時(shí)存在缺陷，攻擊者可以發(fā)送精心構(gòu)造的惡意 HTTP 請(qǐng)求，獲得目標(biāo)服務(wù)器的權(quán)限，在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令。

CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。
 

二、漏洞影響范圍

該漏洞的影響版本如下：

WebLogic 10.X

WebLogic 12.1.3

CNVD秘書處對(duì)WebLogic服務(wù)在全球范圍內(nèi)的分布情況進(jìn)行分析，結(jié)果顯示該服務(wù)的全球用戶規(guī)模約為6.9萬，其中位于我國境內(nèi)的用戶規(guī)模約為2.9萬。

CNVD秘書處組織技術(shù)力量進(jìn)行技術(shù)檢測(cè)，發(fā)現(xiàn)我國境內(nèi)WebLogic用戶中，共有461個(gè)網(wǎng)站受此漏洞影響，所占比例為1.6%，該比例遠(yuǎn)低于我平臺(tái)在2018年4月18日收錄的WebLogic Server反序列化漏洞（CNVD-2018-07811）的影響范圍。

CNVD國家漏洞庫將對(duì)發(fā)現(xiàn)存在漏洞網(wǎng)站的單位進(jìn)行通報(bào)，及時(shí)消除漏洞攻擊威脅。
 

三、漏洞處置建議

目前，Oracle官方暫未發(fā)布補(bǔ)丁，臨時(shí)解決方案如下：

1、 刪除該war包并重啟webLogic；

2、 通過訪問策略控制禁止 /_async/* 路徑的URL訪問。

建議使用WebLogic Server構(gòu)建網(wǎng)站的信息系統(tǒng)運(yùn)營者進(jìn)行自查，發(fā)現(xiàn)存在漏洞后，按照臨時(shí)解決方案及時(shí)進(jìn)行修復(fù)。

以上內(nèi)容由四川無國界(m.zgtxgcmh.com) 整理編輯——專業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風(fēng)險(xiǎn)管理咨詢服務(wù)。