WebLogic是美國Oracle公司出品的一個Application Server,確切的說是一個基於JAVAEE架構的中間件,是用於開發、集成、部署和管理大型分布式Web應用、網絡應用和數據庫應用的Java應用服務器。
WebLogic將Java的動態功能和Java Enterprise標准的安全性引入大型網絡應用的開發、集成、部署和管理之中。是商業市場上主要的Java(J2EE)應用服務器軟件(Application Server)之一,是世界上第一個成功商業化的J2EE應用服務器,具有可擴展性,快速開發,靈活,可靠性等優勢。
2019年4月17日,國家信息安全漏洞共享平台(CNVD)收錄了Oracle WebLogic wls9-async反序列化遠程命令執行漏洞(CNVD-C-2019-48814)。攻擊者利用該漏洞,可在未授權的情況下遠程執行命令。目前,漏洞細節已經公開,近期內針對該類攻擊事件將劇增。
漏洞簡介
嚴重程度:高危
CVND 編號:CNVD-C-2019-48814
影響版本:
Oracle WebLogic Server 10.X
Oracle WebLogic Server 12.1.3
漏洞成因
此漏洞存在於Weblogic自帶的wls9_async_response.war組件及wls-wsat組件中,由於在反序列化處理輸入信息的過程中存在缺陷,未經授權的攻擊者可以發送精心構造的惡意HTTP請求,獲取服務器權限,實現遠程代碼執行。
漏洞危害
可直接訪問組件/_async/AsyncResponseService和/wls-wsat/CoordinatorPortType,若訪問如下圖所示,則此組件開啟。請相關用戶引起關注,及時采取防護措施。
若漏洞被成功利用,可導致遠程命令執行,攻擊者可以進而獲得整台服務器的權限。
漏洞檢測POC:
利用上面的POC進行漏洞檢測,如果返回值的HTTP頭為HTTP/1.1 202 Accepted,則說明該漏洞存在。
建議
官方暫未發布針對此漏洞的修復補丁,在官方修復之前,可以采取以下方式進行臨時防護:
(1)配置URL訪問控制策略
部署於公網的用戶,可通過訪問控制策略禁止對/_async/*及/wls-wsat/*路徑的訪問。
(2)刪除不安全文件
刪除wls9_async_response.war、wls-wsat.war文件及相關文件夾,並重啟Weblogic服務。具體文件路徑如下:
版本號為10.3.*:
\Middleware\wlserver_10.3\server\lib\
%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
版本號為12.1.3:
\Middleware\Oracle_Home\oracle_common\modules\
%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
注:wls9_async_response.war及wls-wsat.war屬於一級應用包,對其進行移除或更名操作可能造成未知的后果,Oracle官方不建議對其進行此類操作。若在直接刪除此包的情況下應用出現問題,將無法得到Oracle產品部門的技術支持。請用戶進行影響評估,並對此文件進行備份后,再執行此操作。
(3)禁用bea_wls9_async_response及wls-wsat
用戶可通過在weblogic啟動參數中禁用bea_wls9_async_response及wls-wsat的方式,對此漏洞形成臨時防護
在禁用不安全組件前,需請開發人員確認應用系統是否使用了weblogic提供的異步WebService功能,排查方法請附錄章節。如果確認沒有使用,可以使用如下方式禁用此功能:
1、以windows系統為例,在啟動文件(%DOMAIN_HOME%\bin\startWeblogic.cmd)中加如下參數:
set JAVA_OPTIONS=%JAVA_OPTIONS% -Dweblogic.wsee.skip.async.response=true
set JAVA_OPTIONS=%JAVA_OPTIONS% -Dweblogic.wsee.wstx.wsat.deployed=false
2、 對應用程序進行嚴格測試。
3、 測試結果沒有問題后,重啟 Weblogic 服務,使參數生效