Oracle WebLogic多个高危安全漏洞风险提示

1.漏洞公告

2020414日,Oracle官方发布了20204月安全更新公告,包含了其家族WebLogic Server在内的多个产品安全漏洞公告,其中有3个涉及Oracle WebLogic ServerCore组件、T3协议远程代码执行的高危漏洞,对应CVE编号:CVE-2020-2801CVE-2020-2883CVE-2020-2884

 

Oracle WebLogic Server其他中高危漏洞还包括:

CVE-2020-2867,Web Container组件、HTTP协议;

CVE-2020-2828WLS Web Services组件、T3协议;

CVE-2020-2798WLS Web Services组件、T3协议;

CVE-2020-2811Console组件、HTTP协议;

CVE-2020-2766,Console组件、HTTP协议;

CVE-2020-2829,Management Services组件、HTTP协议;

CVE-2020-2869Console组件、HTTP协议。

 

另外涉及T3协议的还有Oracle Coherence的高危漏洞,对应CVE编号:CVE-2020-2915,漏洞公告链接

https://www.oracle.com/security-alerts/cpuapr2020.html

 

Oracle历史安全公告参考:https://www.oracle.com/security-alerts

2. 影响范围

CVE-2020-2801漏洞影响版本:

WebLogic Server 10.3.6.0.0

WebLogic Server 12.1.3.0.0

WebLogic Server 12.2.1.3.0,

WebLogic Server 12.2.1.4.0

 

CVE-2020-2883漏洞影响版本:

Weblogic Server 10.3.6.0.0

Weblogic Server 12.1.3.0.0,

Weblogic Server 12.2.1.3.0

Weblogic Server 12.2.1.4.0

 

CVE-2020-2884漏洞影响版本:

Weblogic Server 12.2.1.4.0

 

CVE-2020-2915漏洞影响版本

Oracle Coherence 3.7.1.0

Oracle Coherence 12.1.3.0.0

Oracle Coherence 12.2.1.3.0

Oracle Coherence 12.2.1.4.0

补丁下载:用户可以登录Oracle官网下载安全更新补丁。

 

3.漏洞描述

CVE-2020-2801CVE-2020-2883CVE-2020-2884漏洞:主要涉及WebLogic Server,默认监听的T3协议存在反串行化远程代码执行漏洞,成功利用该漏洞可以达到命令执行的效果,甚至获取WebLogic Server的服务运行权限,已经验证漏洞可以成功利用:https://github.com/hktalent/CVE_2020_2546 

 

CVE-2020-2915漏洞:主要涉及Oracle Coherence,默认监听的T3协议存在远程代码执行漏洞,成功利用该漏洞可以达到命令执行的效果,甚至获取WebLogic Server的服务运行权限。

 

建议尽快升级到漏洞修复的版本或采取临时缓解措施进行加固

 

4.缓解措施

高危:目前漏洞细节和利用代码暂未公开,但恶意攻击者可能对安全更新补丁进行对比分析出漏洞原因,并进一步开发出漏洞利用代码或工具,建议及时测试并安装安全更新补丁,或采取临时缓解措施加固系统。

 

(1)临时缓解措施:

CVE-2020-2801CVE-2020-2883CVE-2020-2884CVE-2020-2915漏洞:建议尽快安装安全更新补丁(可以使用BSU智能更新)或使用连接筛选器临时阻止外部访问7001埠的T3/T3s协议:

 

(2)连接筛选器

weblogic.security.net.ConnectionFilterImpl

规则示例

0.0.0.0/0 * 7001 deny t3 t3s   

#拒绝所有访问允许和拒绝指定IP规则示例:

192.168.1.0/24 * 7001 allow t3 t3s #允许指定IP段访问

192.168.2.0/24 * 7001 deny t3 t3s  #拒绝指定IP段访问

 

连接筛选器说明参考

https://docs.oracle.com/cd/E24329_01/web.1211/e24485/con_filtr.htm#SCPRG377

 

安全运营建议:Oracle WebLogic历史上已经报过多个安全漏洞(其中多为反串行化漏洞),建议使用该产品的企业经常关注官方安全更新公告。

发布者:吴芳   点击数:978   发布时间:2020-04-16 15:00:07   更新时间:2020-04-16 15:27:09