Weblogic最新反序列化远程命令执行漏洞(绕过CVE-2019-2725补丁)预警

发布者:lijunhua发布时间:2019-06-19浏览次数:4164

 亚信安全监测到互联网上曝出Oracle WebLogic反序列化远程命令执行漏洞。此次攻击可以绕过Oracle官方在4月份发布的最新安全补丁,攻击者可利用该漏洞在未授权的情况下远程执行命令。

漏洞名称:
Oracle WebLogic反序列化远程命令执行漏洞 (绕过CVE-2019-2725补丁)

漏洞简介:
由于在处理反序列化信息时没有合理进行过滤,攻击者可以通过发送精心构造的恶意HTTP请求来利用该漏洞,从而获取服务器权限并在未授权情况下远程执行任意代码。

影响范围:
WebLogic 10.X
WebLogic 12.1.3

风险级别:
高危

临时解决方案: 
1、通过访问策略控制禁止 /_async/跟/wls-wsat/ 路径的URL访问。
2、删除wls9_async_response.war与wls-wsat.war 文件及相关文件夹,并重启 Weblogic 服务。

删除操作可能造成未知后果,请自行评估,谨慎操作。

需要删除的文件路径如下:
10.3.*版本路径:
\Middleware\wlserver_10.3\server\lib\
%DOMAIN_HOME%\servers\AdminServer\tmp_WL_internal\ %DOMAIN_HOME%\servers\AdminServer\tmp.internal\

12.1.3 版本路径:
\Middleware\Oracle_Home\oracle_common\modules\
%DOMAIN_HOME%\servers\AdminServer\tmp.internal\
%DOMAIN_HOME%\servers\AdminServer\tmp_WL_internal\

请用户密切关注Oracle官方安全通告,参考链接
https://www.oracle.com/technetwork/topics/security/alerts-086861.html

亚信安全解决方案:

     针对此漏洞,亚信安全DS产品的DPI规则如下:
  • 1009707-Oracle Weblogic Server Remote Code Execution Vulnerability (CVE-2019-2725)

     针对此漏洞,亚信安全TDA产品的规则如下:
  • 2898 - “Weblogic Unauthenticated RCE Exploit- HTTP (Request)”

  • 2903 - “Possible Oracle Weblogic Remote Command Execution Exploit - HTTP (Request)”