Weblogic 反序列化漏洞安全预警通告

近日，360 安全监测与响应中心安全研究员监测到Weblogic 存在一系列反序列化高危安全漏洞，攻击者可以通过构造恶意输入实现远程代码执行。

自2015 年反序列化漏洞席卷了国内大部分部署在Weblogic、Websphere、Jboss 等中间件上的应用之后，国内各大安全厂商也对相应的漏洞进行了分析以及给出了修复建议。那阵热潮过后大家对反序列化漏洞的讨论也渐渐降了温。自2015 年11 月官方补丁之后截止目前，Weblogic 发布了一系列反序列化漏洞补丁，这些漏洞在360 安全监测与响应中心安全研究员验证分析后发现危害不亚于2015 年11 月的反序列化漏洞。即利用Java 反序列化漏洞，来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS 这些Java 应用，实现远程代码执行。

360 安全监测与响应中心也将持续关注该事件进展，并第一时间为您更新该漏洞信息。

漏洞信息

一、漏洞描述

WebLogic 是用于开发、集成、部署和管理大型分布式Web 应用、网络应用和数据库应用的Java 应用服务器。将Java 的动态功能和Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic 在国内的的应用范围比较广，支撑着很多企业的核心业务。被政府、金融机构、传统企业广泛的使用。

序列化就是把对象转换成字节流，便于保存在内存、文件、数据库中；反序列化即逆过程，由字节流还原成对象。如果Java 应用对用户输入，即不可信数据做了反序列化处理，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的对象，非预期的对象在产生过程中就有可能带来任意代码执行。

在2016 年4 月RSA Conference2016 会议上, 国外安全人员在议题《SerialKiller:Silently Pwning Your Java Endpoints》中就讲解了WebLogic CVE-2015-4852补丁的绕过方法，在此之后也相继出现了多个绕过的方法。360 安全监测与响应中心安全研究人员也对从2015 年截止到现在的weblogic 反序列化漏洞进行了梳理以及验证，结果如下：

对于上述列表中的漏洞，请用户对应漏洞编号尽快到Oracle 官方网址下载补丁，逐一升级。

二、风险等级

360 安全监测与响应中心风险评级为：高危

处置建议

一、影响范围

具体受影响的Weblogic 版本列表如下：

12.1.2

12.1.2.0

12.1.3

12.1.3.0

12.2.1

12.2.1.0

12.2.1.1

12.2.1.2

10.3.6

10.3.6.0

二、检测方法

360 企业安全未知威胁感知系统流量探针检测规则更新

360 企业安全天眼未知威胁感知系统的流量探针已经加入了针对CVE-2017-3248 漏洞的检测，请用户尽快将流量探针规则升级至3.0.0625.10485或以上版本。对应规则ID：0x4a66。

360 网站云监测系统更新云端扫描特征库

360 网站云监测系统已更新了云端的扫描特征库，可以支持对WebLogic 反序列化安全漏洞（CVE-2017-3248）的扫描，用户可登录云监测系统快速对网站进行检测。

360 网神WEB 安全智能监测系统（鹰眼）V2.0.0.8 版本已更新扫描特征库

360 网神WEB 安全智能监测系统（鹰眼），可通过更新至V2.0.0.8 版本，支持对WebLogic 反序列化安全漏洞（CVE-2017-3248）的扫描，请用户联系技术支持人员获取升级包对鹰眼进行升级。

三、防护工具

360 企业安全网站安全云防护（安域）防护机制缺省免疫

360 企业安全网站安全云防护（安域），防护机制缺省对CVE-2017-3248 漏洞利用方式免疫，接入网站安全云防护（安域）的网站缺省可不受此漏洞影响。

360 新一代智慧防火墙更新IPS 特征库

360 新一代智慧防火墙（NSG3000/5000/7000/9000 系列）和下一代极速防火墙（NSG3500/5500/7500/9500 系列）产品系列，通过更新IPS 特征库已经完成了Oracle Weblogic Server 远程安全漏洞（CVE-2017-3248）防护，建议用户尽快将IPS特征库升级至“20170625”版本，启用ID为：50795 的特征。

四、根治措施

Oracle 官方已经针对上述漏洞提供了官方补丁（正版用户才能下载）。请尽快到Oracle 官方网址下载补丁，逐一进行安装升级。

请参考如下链接：

https://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html (CVE-2015-4852)

https://www.tenable.com/security/research/tra-2016-09 (CVE-2016-0638)

https://www.tenable.com/security/research/tra-2016-21 (CVE-2016-3510)

http://www.tenable.com/security/research/tra-2017-07 (CVE-2017-3248)

https://www.tenable.com/security/research/tra-2017-16 (CVE-2017-3531)

参考文档

1.https://www.oracle.com/technetwo ... -cve-2015-4852-2763333.html (CVE-2015-4852)

2. https://www.tenable.com/security/research/tra-2016-09 (CVE-2016-0638)

3. https://www.tenable.com/security/research/tra-2016-21 (CVE-2016-3510)

4. http://www.tenable.com/security/research/tra-2017-07 (CVE-2017-3248)

5. https://www.tenable.com/security/research/tra-2017-16 (CVE-2017-3531)

6.https://threathunter.org/topic/594a9d6dde1d70c20885ccd2

来源  360企业安全