4月早些时候,甲骨文公司(Oracle)针对旗下WebLogic Server产品发布了一个至关重要的安全补丁,用于修补一个被评定为“高危”的Java反序列化远程代码执行漏洞,该漏洞允许攻击者能够在未授权的情况下远程执行任意代码。
然而,一位推特ID为“pyn3rd”并声称来自阿里云安全团队的安全研究人员在上周六(4月27日)发表的推文中表示,Oracle发布的这个安全补丁似乎并不那么“可靠”,一种方法已经被发现可用来绕过这个安全补丁并实现该漏洞的利用。
Oracle WebLogic Server是由Oracle公司开发的一款适用于云环境和传统环境的应用服务中间件,充当多层企业应用程序的前端用户界面和后端数据库之间的中间层。它为所有组件提供一套完整的服务,并自动处理应用程序行为的详细信息,这极大简化了应用的部署和管理。
被追踪为CVE-2018-2628的WebLogic漏洞最初是由NSFOCUS安全团队的廖新喜在2017年11月份通报给Oracle公司的,可以通过TCP端口7001的网络访问被利用。
远程攻击者可利用该漏洞在未授权的情况下发送攻击数据,通过T3协议在WebLogic Server中执行反序列化操作,实现任意代码执行。在WebLogic 的 RMI(远程方法调用)通信中,T3协议用来在 WebLogic
Server 和其他 Java 程序间传输数据,而该协议在开放WebLogic控制台端口的应用上是默认开启的。
该漏洞涉及了多个版本,具体受影响版本如下:
Oracle WebLogic Server 10.3.6.0
Oracle WebLogic Server 12.1.3.0
Oracle WebLogic Server 12.2.1.2
Oracle WebLogic Server 12.2.1.3
虽然pyn3rd只是发布了一个GIF动态图片来作为概念证明(PoC),而不是发布完整的绕过代码或任何技术细节,但是对于熟练的黑客来说,要想找到一种方法来实现同样的目标,几乎仅需要几个小时或几天的时间。
目前,尚不清楚Oracle公司何时会发布新的安全补丁,以解决这个能够绕过Oracle安全补丁并实现CVE-2018-2628漏洞利用的新问题。
由于该漏洞的攻击代码已在互联网上被公开,另外已经有攻击者开始在互联网上扫描易受攻击的WebLogic服务器。因此我们建议还没有安装Oracle补丁的用户应及时确认自己的服务器是否受到漏洞的影响,并尽快采取修补措施。即使这个补丁并不完善,但至少能让你获得初步的保护。
网友评论