网络安全

关于WebLogic中间件任意命令执行漏洞的预警通报
发布日期:2022-08-03 16:30 浏览量:

据有关部门通知,WebLogic中间件存在任意命令执行漏洞,鉴于漏洞影响范围较大,潜在危害程度较高,请各单位及时关注,核查相关软件产品使用情况,在确保安全的前提下及时修补漏洞,消除安全隐患,提高安全防范能力。

一、漏洞信息:

漏洞名称:WebLogic中间件任意命令执行漏洞

影响产品及版本:暂无详细信息

漏洞描述:攻击者可以对T3/IIOP接口发送恶意内容,导致任意命令执行

漏洞类型:任意命令执行

二、漏洞分析:

厂商未公开漏洞信息,未发布补丁,PoC未公开,已确认该Oday漏洞有在野利用。

雷池产品︰

是否对产品安全性产生影响︰否;

是否支持检测︰非WEB应用协议,不支持检测。

谛听产品:

是否对产品安全性产生影响︰否;

是否具备该类型蜜罐:具备weblogic蜜罐

洞鉴产品︰

是否对产品安全性产生影响︰否﹔

是否支持检测:支持,通过自定义POC可检测。

牧云产品:

是否对产品安全性产生影响︰产线验证中。

是否具备该类型检测∶产线验证中。

全悉产品:

是否对产品安全性产生影响:否;

是否具备支持检测:无需升级,即可检测。

万象产品:

是否对产品安全性产生影响:否;

额外说明∶搭配全悉等产品进行使用。

三、处置建议:

1.暴露在公网的WebLogic应配置对外禁用T3和IIOP,在不影响业务的情况下,T3和IIOP协议应只对内部可信主机段开放;

2.配置禁用办法:

方法一:配置WebLogic对外部禁用T3协议的具体步骤:

Ⅰ.登入WebLogic控制台,在对应域设置中选择“安全”-“筛选器”选项卡;

Ⅱ.在“连接筛选器”输入框中输入: weblogic.security.net.ConnectionFilterlmpl,在“连接筛选器规则”输入框中输入如下,即配置为仅允许本机使用T3/T3S协议通信,禁用除可信主机以外其他主机使用T3/T3S协议通信。

方法二:配置WebLogic禁用IIOP协议的具体步骤:

登入WebLogic控制台,在对应域设置中选择“环境”-“服务器”,并选中要设置的服务器。然后在对应服务器设置中选择“协议”-“IIOP”选项卡,并取消“启用IIOP”前面的勾选,保存配置。

3.使用流量检测防护设备,检测T3/IIOP协议数据包中是否出现ForeignOpaqueReference关键词。


2022年7月29日