Oracle WebLogic多个高危安全漏洞风险提示
1.漏洞公告
2020年4月14日,Oracle官方发布了2020年4月安全更新公告,包含了其家族WebLogic Server在内的多个产品安全漏洞公告,其中有3个涉及Oracle WebLogic Server的Core组件、T3协议远程代码执行的高危漏洞,对应CVE编号:CVE-2020-2801、CVE-2020-2883和CVE-2020-2884。
Oracle WebLogic Server其他中高危漏洞还包括:
l CVE-2020-2867,Web Container组件、HTTP协议;
l CVE-2020-2828,WLS Web Services组件、T3协议;
l CVE-2020-2798,WLS Web Services组件、T3协议;
l CVE-2020-2811,Console组件、HTTP协议;
l CVE-2020-2766,Console组件、HTTP协议;
l CVE-2020-2829,Management Services组件、HTTP协议;
l CVE-2020-2869,Console组件、HTTP协议。
另外涉及T3协议的还有Oracle Coherence的高危漏洞,对应CVE编号:CVE-2020-2915,漏洞公告链接:
https://www.oracle.com/security-alerts/cpuapr2020.html
Oracle历史安全公告参考:https://www.oracle.com/security-alerts
2. 影响范围
CVE-2020-2801漏洞影响版本:
WebLogic Server 10.3.6.0.0
WebLogic Server 12.1.3.0.0
WebLogic Server 12.2.1.3.0,
WebLogic Server 12.2.1.4.0
CVE-2020-2883漏洞影响版本:
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0,
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
CVE-2020-2884漏洞影响版本:
Weblogic Server 12.2.1.4.0
CVE-2020-2915漏洞影响版本:
Oracle Coherence 3.7.1.0
Oracle Coherence 12.1.3.0.0
Oracle Coherence 12.2.1.3.0
Oracle Coherence 12.2.1.4.0
补丁下载:用户可以登录Oracle官网下载安全更新补丁。
3.漏洞描述
CVE-2020-2801、CVE-2020-2883和CVE-2020-2884漏洞:主要涉及WebLogic Server,默认监听的T3协议存在反串行化远程代码执行漏洞,成功利用该漏洞可以达到命令执行的效果,甚至获取WebLogic Server的服务运行权限,已经验证漏洞可以成功利用:(https://github.com/hktalent/CVE_2020_2546 )
CVE-2020-2915漏洞:主要涉及Oracle Coherence,默认监听的T3协议存在远程代码执行漏洞,成功利用该漏洞可以达到命令执行的效果,甚至获取WebLogic Server的服务运行权限。
建议尽快升级到漏洞修复的版本或采取临时缓解措施进行加固
4.缓解措施
高危:目前漏洞细节和利用代码暂未公开,但恶意攻击者可能对安全更新补丁进行对比分析出漏洞原因,并进一步开发出漏洞利用代码或工具,建议及时测试并安装安全更新补丁,或采取临时缓解措施加固系统。
(1)临时缓解措施:
CVE-2020-2801、CVE-2020-2883、CVE-2020-2884和CVE-2020-2915漏洞:建议尽快安装安全更新补丁(可以使用BSU智能更新)或使用连接筛选器临时阻止外部访问7001埠的T3/T3s协议:
(2)连接筛选器:
weblogic.security.net.ConnectionFilterImpl
规则示例:
0.0.0.0/0 * 7001 deny t3 t3s
#拒绝所有访问允许和拒绝指定IP规则示例:
192.168.1.0/24 * 7001 allow t3 t3s #允许指定IP段访问
192.168.2.0/24 * 7001 deny t3 t3s #拒绝指定IP段访问
连接筛选器说明参考:
https://docs.oracle.com/cd/E24329_01/web.1211/e24485/con_filtr.htm#SCPRG377
安全运营建议:Oracle WebLogic历史上已经报过多个安全漏洞(其中多为反串行化漏洞),建议使用该产品的企业经常关注官方安全更新公告。