Oracle WebLogic Server Java反序列化漏洞CVE-2018-2628

阅读： 16

Oracle官方发布了4月份的关键补丁更新CPU（Critical Patch Update）,其中包含一个高危的远程代码执行漏洞(CVE-2018-2628)，通过该漏洞，攻击者可以在未授权的情况下远程执行任意代码。绿盟科技专家迅速响应，第一时间制定解决方案，并提供绿盟网络入侵防护系统（NIPS）和绿盟下一代防火墙系统（NF）最新升级包下载

预警编号：NS-2018-0015

关注级别：红，此漏洞利用简单，可直接获取系统控制权限，存在被攻击者挖矿利用的可能性

文章目录

WebLogic漏洞概述

北京时间4月18日凌晨，Oracle官方发布了4月份的关键补丁更新CPU（Critical Patch Update）,其中包含一个高危的远程代码执行漏洞(CVE-2018-2628)，通过该漏洞，攻击者可以在未授权的情况下远程执行任意代码。

CVSS 评分：9.8，CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

此漏洞产生于Weblogic T3服务，所有开放Weblogic控制台端口的应用，均会默认开启T3服务，因此会造成较大范围的影响。根据绿盟态势感知平台查询的结果，在全球范围内对互联网开放Weblogic服务的资产数量多达19,229，其中归属中国地区的受影响资产数量为1,787。

WebLogic漏洞影响范围

受影响的版本

• Weblogic 10.3.6.0
• Weblogic 12.1.3.0
• Weblogic 12.2.1.2
• Weblogic 12.2.1.3

以上均为官方支持的版本

WebLogic漏洞影响排查

一、版本检查

使用如下命令对WebLogic版本进行排查

$ cd /lopt/bea92sp2/weblogic92/server/lib
 
$ java -cp weblogic.jar weblogic.version

查看版本是否在受影响范围内。如果当前版本在受影响范围内，在检测是否对外开放了Weblogic端口（默认为7001端口），如果Weblogic服务可被远程访问。则存在漏洞风险，请受影响的用户及时进行加固。

二、使用NTI对互联网资产排查

绿盟科技威胁情报中心（NTI）提供对互联网开放网络资产信息查看的功能，企业用户可通过在NTI上检索自有资产信息端口开放情况，查看企业资产是否受此漏洞影响。

绿盟科技威胁情报中心为企业客户提供互联网资产核查服务，使得企业客户能够及时掌握自身资产的安全态势以及资产变动情况，服务详情可咨询： NTI@nsfocus.com ，或者咨询对应的客户经理。

三、脚本检测

针对该漏洞，绿盟科技提供检测排查脚本，相关企业用户可联系绿盟科技对应的客户经理索取。

WebLogic漏洞防护

官方补丁

Oracle官方已经在今天的关键补丁更新（CPU）中修复了该漏洞，强烈建议受影响的用户尽快升级更新进行防护。

注：Oracle官方补丁需要用户持有正版软件的许可账号，使用该账号登陆https://support.oracle.com后，可以下载最新补丁。

安全产品防护方案

绿盟网络入侵防护系统（NIPS）

已经部署绿盟网络入侵防护系统（NIPS）的用户，可通过规则升级进行有效的防护，请相关用户可参考以下步骤进行规则库升级。

1. 从绿盟科技官网下载最新的NIPS升级包，以6.10版本为例，访问以下链接可获得最新的规则升级包：

http://update.nsfocus.com/update/downloads/id/21006

2. 在系统升级中点击离线升级，选择系统规则库，选择对应的文件，点击上传。

  3.更新成功后，在系统默认规则库中查找规则编号：23614，即可查询到对应的规则详情。

注意事项：请选择合适的时间升级；该升级包升级后引擎自动重启生效，不会造成会话中断，但ping 包会丢3~5 个。

绿盟下一代防火墙系统（NF）

已经部署绿盟下一代防火墙系统（NF）的用户，可通过规则升级进行有效的防护，请相关用户可参考以下步骤进行规则库升级。

1. 从绿盟科技官网下载最新的NF升级包，以6.0.1版本为例，访问以下链接可获得最新的规则升级包：

http://update.nsfocus.com/update/downloads/id/21007

2. 在NF的规则升级界面进行升级：

  3.手动选择规则包，点击提交即可完成更新。

临时解决方案

可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。WebLogic Server 提供了名为 weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器，此连接筛选器接受所有传入连接，可通过此连接筛选器配置规则，对t3及t3s协议进行访问控制，详细操作步骤如下：

1.进入Weblogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

2 .在连接筛选器中输入：security.net.ConnectionFilterImpl，在连接筛选器规则中输入：* * 7001 deny t3 t3s

3.保存后规则即可生效，无需重新启动。

使用检测脚本，可看到防护效果已经生效：

连接筛选器规则格式如：target localAddress localPort action protocols，其中：
 
 target 指定一个或多个要筛选的服务器。
 
 localAddress 可定义服务器的主机地址。(如果指定为一个星号 (*)，则返回的匹配结果将是所有本地 IP 地址。)
 
 localPort 定义服务器正在监听的端口。(如果指定了星号，则匹配返回的结果将是服务器上所有可用的端口)。
 
 action 指定要执行的操作。(值必须为“allow”或“deny”。)
 
 protocols 是要进行匹配的协议名列表。(必须指定下列其中一个协议：http、https、t3、t3s、giop、giops、dcom 或 ftp。) 如果未定义协议，则所有协议都将与一个规则匹配。