概述
近日,白帽駭客資安網監測到互聯網上曝出了Oracle WebLogic反序列化遠端命令執行漏洞。WebLogic是美國Oracle公司出品的Java應用伺服器,WebLogic是用於開發、集成、部署和管理大型分散式Web應用、網路應用和資料庫應用。攻擊者可利用該漏洞在未授權的情況下遠端執行命令。和CVE-2019-2725(CNVD-C-2019-48814)不同,該漏洞可以繞過最新的補丁。由於weblogic使用人數眾多,其中包含一些重要單位,且目前官方未發佈相關補丁,所以漏洞危害非常嚴重。希望相關用戶採取下方的臨時修復方案進行應急。
分佈情況
根據FOFA的資料統計,全球共有26421個開放的weblogic服務。其中美國最多,有11284個開放服務。其次是中國,有6852個開放的weblogic服務。伊朗排第三,有2204個開放的weblogic服務。德國有453個開放的weblogic服務。加拿大有414個開放的weblogic服務。
國內的weblogic服務分佈如下,北京最多,有3660個服務,廣東有394個服務,上海有393個服務,浙江有271個服務,江蘇有209個服務,台灣4個。
漏洞危害
- 高危
- WebLogic 10.X
- WebLogic 12.1.3
目前,文中提到的漏洞相關PoC,FOFA用戶端目前已支持檢測上述漏洞。
修復建議
目前,Oracle官方暫未發佈補丁,臨時解決方案如下:
- 1、尋求eSafe白帽駭客資安網幫您服務,或按造以下方式試試。
- 2、通過訪問策略控制禁止 /_async/跟/wls-wsat/ 路徑的URL訪問。
- 3、刪除 wls9_async_response.war 與 wls-wsat.war 檔及相關資料夾,並重啟 Weblogic 服務。進行刪除操作可能造成未知後果,請謹慎操作。 需要刪除的檔路徑如下:
\Middleware\wlserver_10.3\server\lib\
%DOMAIN_HOME%\servers\AdminServer\tmp_WL_internal\ %DOMAIN_HOME%\servers\AdminServer\tmp.internal\
12.1.3 版本路徑:
\Middleware\Oracle_Home\oracle_common\modules\
%DOMAIN_HOME%\servers\AdminServer\tmp.internal\
%DOMAIN_HOME%\servers\AdminServer\tmp_WL_internal\
為您提供:網路空間測繪、企業資產收集、企業威脅情報、應急回應服務。