近日,360 安全监测与响应中心安全研究员监测到Weblogic 存在一系列反序列化高危安全漏洞,攻击者可以通过构造恶意输入实现远程代码执行。
自2015 年反序列化漏洞席卷了国内大部分部署在Weblogic、Websphere、Jboss 等中间件上的应用之后,国内各大安全厂商也对相应的漏洞进行了分析以及给出了修复建议。那阵热潮过后大家对反序列化漏洞的讨论也渐渐降了温。自2015 年11 月官方补丁之后截止目前,Weblogic 发布了一系列反序列化漏洞补丁,这些漏洞在360 安全监测与响应中心安全研究员验证分析后发现危害不亚于2015 年11 月的反序列化漏洞。即利用Java 反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS 这些Java 应用,实现远程代码执行。
360 安全监测与响应中心也将持续关注该事件进展,并第一时间为您更新该漏洞信息。
漏洞信息 一、漏洞描述
WebLogic 是用于开发、集成、部署和管理大型分布式Web 应用、网络应用和数据库应用的Java 应用服务器。将Java 的动态功能和Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic 在国内的的应用范围比较广,支撑着很多企业的核心业务。被政府、金融机构、传统企业广泛的使用。
序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。如果Java 应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。
在2016 年4 月RSA Conference2016 会议上, 国外安全人员在议题《SerialKiller:Silently Pwning Your Java Endpoints》中就讲解了WebLogic CVE-2015-4852补丁的绕过方法,在此之后也相继出现了多个绕过的方法。360 安全监测与响应中心安全研究人员也对从2015 年截止到现在的weblogic 反序列化漏洞进行了梳理以及验证,结果如下:
对于上述列表中的漏洞,请用户对应漏洞编号尽快到Oracle 官方网址下载补丁,逐一升级。
二、风险等级
360 安全监测与响应中心风险评级为:高危
处置建议 一、影响范围
具体受影响的Weblogic 版本列表如下:
12.1.2 12.1.2.0 12.1.3 12.1.3.0 12.2.1 12.2.1.0 12.2.1.1 12.2.1.2 10.3.6 10.3.6.0
二、检测方法
360 企业安全未知威胁感知系统流量探针检测规则更新
360 企业安全天眼未知威胁感知系统的流量探针已经加入了针对CVE-2017-3248 漏洞的检测,请用户尽快将流量探针规则升级至3.0.0625.10485或以上版本。对应规则ID:0x4a66。
360 网站云监测系统更新云端扫描特征库
360 网站云监测系统已更新了云端的扫描特征库,可以支持对WebLogic 反序列化安全漏洞(CVE-2017-3248)的扫描,用户可登录云监测系统快速对网站进行检测。
360 网神WEB 安全智能监测系统(鹰眼)V2.0.0.8 版本已更新扫描特征库
360 网神WEB 安全智能监测系统(鹰眼),可通过更新至V2.0.0.8 版本,支持对WebLogic 反序列化安全漏洞(CVE-2017-3248)的扫描,请用户联系技术支持人员获取升级包对鹰眼进行升级。
三、防护工具
360 企业安全网站安全云防护(安域)防护机制缺省免疫
360 企业安全网站安全云防护(安域),防护机制缺省对CVE-2017-3248 漏洞利用方式免疫,接入网站安全云防护(安域)的网站缺省可不受此漏洞影响。
360 新一代智慧防火墙更新IPS 特征库
360 新一代智慧防火墙(NSG3000/5000/7000/9000 系列)和下一代极速防火墙(NSG3500/5500/7500/9500 系列)产品系列,通过更新IPS 特征库已经完成了Oracle Weblogic Server 远程安全漏洞(CVE-2017-3248)防护,建议用户尽快将IPS特征库升级至“20170625”版本,启用ID为:50795 的特征。
四、根治措施
Oracle 官方已经针对上述漏洞提供了官方补丁(正版用户才能下载)。请尽快到Oracle 官方网址下载补丁,逐一进行安装升级。
请参考如下链接:
https://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html (CVE-2015-4852)
https://www.tenable.com/security/research/tra-2016-09 (CVE-2016-0638)
https://www.tenable.com/security/research/tra-2016-21 (CVE-2016-3510)
http://www.tenable.com/security/research/tra-2017-07 (CVE-2017-3248)
https://www.tenable.com/security/research/tra-2017-16 (CVE-2017-3531)
参考文档
来源 360企业安全
|
评论
直达楼层