,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。
此漏洞产生于Weblogic T3服务,当开放Weblogic控制台端口(默认为7001端口)时,T3服务会默认开启。通过该漏洞,攻击者无需认证即可远程执行代码。因此影响面较大。
360安全监测与响应中心在2017年6月26日发布的《Weblogic多个反序列化漏洞安全预警通告》(第二次更新)中已经对从2015年截止到现在的weblogic反序列化漏洞进行了梳理以及验证。结果如下:
对于上述列表中的漏洞,请用户对应漏洞编号尽快到Oracle官方网址下载补丁,逐一升级。
风险等级
360安全监测与响应中心风险评级为:高危
预警等级:蓝色预警(一般网络安全预警)
影响范围
Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.2
Weblogic 12.2.1.3
目前评估潜在受影响主机数量超过6000台,整体影响面较大,综合分析威胁等级为高。
处置建议
1. 修复方法
360安全监测与响应中心近日发现此补丁修复不完善,已经打过补丁的 WebLogic Server组件仍然会受到漏洞影响,建议您按照临时处置措施中的方法来处置,避免漏洞带来的风险。
2. 临时处置措施(关闭协议)
1) 建议临时使用防火墙限制从不可信主机到被防护服务器7001端口的t3和t3s协议。
2) 建议按照下图的指示步骤对Weblogic从1-5封闭对 Weblogic t3 以及 t3s 的访问,封掉后,只有本地主机可以利用 t3/t3s 与 Weblogic 进行通信。
注意:
第4步文本框中填写的内容为:
weblogic.security.net.ConnectionFilterImpl
第5步文本框中填写的内容为:
127.0.0.1 * * allow t3 t3s
0.0.0.0/0 * * deny t3 t3s
(每个字段中间有空格)
修改完后请重启 Weblogic 使配置生效。
产品解决方案
1. 检测方案
360天眼产品解决方案:针对CVE-2018-2628漏洞,360天眼的流量探针第一时间加入攻击检测规则。请尽快升级到最新版本:3.0.0418.10689。对应规则ID:0x4ebe,告警名称:Oracle Weblogic反序列化远程代码执行漏洞(CVE-2018-2628)。请关注流量探针的此类告警,也可通过新一代未知威胁感知系统或NGSOC的日志搜索功能进行排查。
流量探针规则升级方法:依次点击“系统配置”-“设备升级”-“规则升级”,可以选择“在线升级”或“网络升级”。
2. 防护工具
360上网行为管理产品防护方案:360上网行为管理(NI2200/3200/5200/7200系列),已通过更新应用特征库实现了对与T3以及T3S协议的识别。
建议用户尽快将协议库升级至283:
创建禁止所有人访问T3协议策略:
创建对于T3信任用户组策略:
策略建立完成后如下:
360天堤防火墙产品解决方案:360新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至“1804181641”版本并启用规则ID: 51110进行防护。
技术分析
Weblogic T3 协议使用反序列化机制进行通信,且未对敏感的 RMI 相关类进行过滤。攻击者可向目标服务器发送包含有 java.rmi.server.RemoteObject 类的反序列化 Payload,触发目标服务器向攻击者控制的服务器发起 RMI 调用,导致真正用于攻击的 Payload 在目标服务器被触发。
官方补丁修复漏洞的方式不正确 ,导致补丁无效。
参考资料
http://www.oracle.com/technetwor ... pr2018-3678067.html
来源 360安全
|
|
|
|
评论
直达楼层