漏洞预警 | Weblogic反序列化漏洞 被攻击者利用可远程执行代码

，便于保存在内存、文件、数据库中；反序列化即逆过程，由字节流还原成对象。如果Java应用对用户输入，即不可信数据做了反序列化处理，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的对象，非预期的对象在产生过程中就有可能带来任意代码执行。

此漏洞产生于Weblogic T3服务，当开放Weblogic控制台端口（默认为7001端口）时，T3服务会默认开启。通过该漏洞，攻击者无需认证即可远程执行代码。因此影响面较大。

360安全监测与响应中心在2017年6月26日发布的《Weblogic多个反序列化漏洞安全预警通告》（第二次更新）中已经对从2015年截止到现在的weblogic反序列化漏洞进行了梳理以及验证。结果如下：   

对于上述列表中的漏洞，请用户对应漏洞编号尽快到Oracle官方网址下载补丁，逐一升级。

风险等级

360安全监测与响应中心风险评级为：高危
预警等级：蓝色预警（一般网络安全预警）

影响范围

Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.2
Weblogic 12.2.1.3
目前评估潜在受影响主机数量超过6000台，整体影响面较大，综合分析威胁等级为高。

处置建议

1. 修复方法

360安全监测与响应中心近日发现此补丁修复不完善，已经打过补丁的 WebLogic Server组件仍然会受到漏洞影响，建议您按照临时处置措施中的方法来处置，避免漏洞带来的风险。

2. 临时处置措施(关闭协议)

1) 建议临时使用防火墙限制从不可信主机到被防护服务器7001端口的t3和t3s协议。

2) 建议按照下图的指示步骤对Weblogic从1-5封闭对 Weblogic t3 以及 t3s 的访问，封掉后，只有本地主机可以利用 t3/t3s 与 Weblogic 进行通信。

注意：

第4步文本框中填写的内容为：
weblogic.security.net.ConnectionFilterImpl

第5步文本框中填写的内容为：
127.0.0.1 * * allow t3 t3s
0.0.0.0/0 * * deny t3 t3s
（每个字段中间有空格）

修改完后请重启 Weblogic 使配置生效。

产品解决方案

1. 检测方案

360天眼产品解决方案：针对CVE-2018-2628漏洞，360天眼的流量探针第一时间加入攻击检测规则。请尽快升级到最新版本：3.0.0418.10689。对应规则ID：0x4ebe，告警名称：Oracle Weblogic反序列化远程代码执行漏洞（CVE-2018-2628）。请关注流量探针的此类告警，也可通过新一代未知威胁感知系统或NGSOC的日志搜索功能进行排查。

流量探针规则升级方法：依次点击“系统配置”-“设备升级”-“规则升级”，可以选择“在线升级”或“网络升级”。

2. 防护工具

360上网行为管理产品防护方案：360上网行为管理（NI2200/3200/5200/7200系列），已通过更新应用特征库实现了对与T3以及T3S协议的识别。

建议用户尽快将协议库升级至283：

创建禁止所有人访问T3协议策略：

创建对于T3信任用户组策略：

策略建立完成后如下：

360天堤防火墙产品解决方案：360新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至“1804181641”版本并启用规则ID: 51110进行防护。

技术分析

Weblogic T3 协议使用反序列化机制进行通信，且未对敏感的 RMI 相关类进行过滤。攻击者可向目标服务器发送包含有 java.rmi.server.RemoteObject 类的反序列化 Payload，触发目标服务器向攻击者控制的服务器发起 RMI 调用，导致真正用于攻击的 Payload 在目标服务器被触发。

官方补丁修复漏洞的方式不正确 ，导致补丁无效。

参考资料

http://www.oracle.com/technetwor ... pr2018-3678067.html

来源 360安全