首页 > 安全资讯 > 正文

WebLogic漏洞入侵 360首家防护

背景

         WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

         Java 提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。其目的是便于网络传输或持久存储。

历史漏洞

         

         CVE-2015-4852  Comments Collections组件中对于集合的操作存在可以进行反射调用的方法,并且该方法在相关对象反序列化时并未进行任何校验,导致攻击者可以远程随意执行任意命令。该漏洞同样影响WebSphere、JBoss、Jenkins和 OpenNMSd等应用程序服务器。

         CVE-2016-0638  WebLogic官方对于反序列化漏洞发布的补丁是使用黑名单方式类限制对反序列化类的调用,之后有人发现weblogic.jms.common.StreamMessageImpl的 readExternal()也使用了反序列化且不在黑名单列表里,可以绕过之前的补丁进行漏洞利用。

         CVE-2016-3510 同样绕过黑名单限制,利用weblogic.corba.utils.MarshalledObject对序列化对象的封装,在反序列化时 MarshalledObject对象调用 readObject 时对封装的序列化对象再次反序列化,这样就逃过了黑名单的限制。

         CVE-2017-3248通过JRMP协议实现了绕过补丁中黑名单的限制,从而攻击者可以构造HTTP请求就可以在目标机器上执行任意指令。Java远程消息交换协议 JRMP 即 Java Remote MessagingProtocol ,是特定于 Java 技术的、用于查找和引用远程对象的协议。这是运行在 Java 远程方法调用 RMI 之下、TCP/IP 之上的线路层协议。

         CVE-2017-3506 & CVE-2017-10271 wls-wsat组件在解析SOAP(XML)请求的过程中导致XMLDecoder反序列化漏洞,CVE-2017-10271为官方针对CVE-2017-3506发布补丁被绕过的相同漏洞另一种触发方法。

         CVE-2018-2628该漏洞是CVE-2017-3248补丁又被绕过的漏洞重现,攻击者远程调用RMI接口java.rmi.activation.Activator来替代java.rmi.registry.Registry绕过黑名单,从而利用反序列化漏洞任意执行命令。

         CVE-2018-2893 同样是绕过之前的补丁而出现的漏洞,但是这次利用了JDK7u21中sun.reflect.annotation.AnnotationInvocationHandler对实例类型检查不严而绕过了CVE-2018-2628补丁及之前补丁的黑名单检查,用户需要解决这个漏洞还需要升级更新版本的JDK。

漏洞危害

         近期WebLogic反序列化漏洞不断的被曝出以及Oracle官方提供的黑名单过滤补丁限制不全,导致漏洞被反复绕过利用。不法者利用漏洞入侵WebLogic服务器植入挖矿木马、勒索病毒等,使WebLogic服务器成为勒索病毒及挖矿木马的重灾区。

         2018年4月,360互联网安全中心就监测到两个勒索病毒家族Satan和Greystars开始攻击Weblogic服务端,对服务器数据进行加密勒索。截至目前为止,360互联网安全中心监测到利用最新CVE-2018-2628与CVE-2018-2893漏洞攻击WebLogic服务器进行恶意挖矿的攻击次数正在迅猛上升。

360安全卫士——漏洞入侵防护

         360安全卫士为安装有WebLogic的用户提供了漏洞入侵防护功能,360安全团队会在第一时间快速响应漏洞预警,为用户提供漏洞攻击拦截防护。由于官方方补丁推出可能不是那么及时,有可能是季度性补丁才会更新,又或者用户没有第一时间来得急手动更新补丁,360漏洞入侵防护功能可以保障服务器系统的安全运行。

安全卫士下载链接:http://down.360safe.com/inst.exe


360安全卫士

热点排行

用户
反馈
返回
顶部