針對需要使用T3協議的Weblogic2628漏洞解決方案

前幾天用戶的服務器中檢查到了Weblogic2628l漏洞，並且打過Oracle官方補丁后還是能檢測到。

針對此問題，去網上查找了一些資料。做了一些總結和測試，一共有四種解決此漏洞的方法：

1、禁止使用Weblogic的T3協議。（客戶需要使用此協議，不可取）；

2、升級Oracle官方4月份補丁。（經過測試，打過補丁后，此漏洞依然存在）；

3、使用綠盟NIPS，規則庫能夠阻擋外部攻擊。

4、設置T3協議白名單。（對需要使用T3協議的情況下很好使，下面會給出步驟）

測試環境：weblogic10.3.6服務器（windows 2008R2）192.168.125.118

                  攻擊機win10    192.168.125.117

使用腳本本地檢測，存在web logic2628漏洞(腳本鏈接：https://github.com/aedoo/CVE-2018-2628-MultiThreading)

同一內網下的win10 檢測，同樣存在此漏洞

設置T3協議白名單

（1）進入Weblogic控制台，在base_domain的配置頁面中，進入“安全”選項卡頁面，點擊“篩選器”，進入連接篩選器配置。

在連接篩選器中輸入：weblogic.security.net.ConnectionFilterImpl，在連接篩選器規則中

輸入：ip * * allow t3 （ip為允許的ip）

0.0.0.0/0 * *deny t3 t3s

測試時白名單IP設置的是本地IP

設置完成后，激活更改並重啟服務。

此時IP白名單外的機器已經無法檢測到此漏洞。

總結：weblogic2628漏洞源於T3協議，如果服務不需要使用T3協議，盡量通過禁用此協議來防止此漏洞。如果需要使用T3協議，目前的解決方法是設置T3協議白名單。