前言

Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。
WebLogic中默认包含的wls-wast 与wls9_async_response war包,由于以上WAR包采用XMLDecoder反序列化机制来处理发送过来的XML数据,远程恶意攻击者可以通过发送精心构造的HTTP请求,在未授权的情况下远程执行命令,获得目标服务器的权限。也就是说,攻击者能够直接获取服务器系统权限,进行数据窃取,进而甚至会威胁受害者的内网安全
Weblogic因为XMLDecoder反序列化不安全数据导致的漏洞目前有三个,第一个是CVE-2017-3506 ,第二个是CVE-2017-10271。这两个历史漏洞的数据输入点在 /wls-wsat/ 目录下。第三个是 CVE-2019-2725,这个漏洞的数据输入点增加了一个/_async/.

影响版本

Oracle WebLogic Server 10.x
Oracle WebLogic Server 12.1.3

漏洞测试方法

1.可通过访问路径/_async/AsyncResponseServiceSoap12判断wls9_async_response组件是否存在。若返回如下页面,请引起关注,及时采取防护措施。

2.可通过访问路径/wls-wsat/CoordinatorPortType,判断wls-wsat组件是否存在。若返回如下页面,则此组件存在。请引起关注,及时采取防护措施。

修复方案

1.配置访问控制策略。
可通过配置访问控制策略禁止非法用户访问以下路径:

/wls-wsat/*/_async/*
```

2.删除不安全文件。
删除 wls9_async_response.war 与 wls-wsat.war 文件及相关文件夹,并重启 Weblogic 服务。具体文件路径如下:
Oracle WebLogic Server 10.3.x :\Middleware\wlserver_10.3\server\lib\%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
Oracle WebLogic Server 12.1.3 :\Middleware\Oracle_Home\oracle_common\modules\%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
```

3.升级JDK 版本
本次漏洞绕过只生效于JDK6,可升级JDK版本至JDK7及以上。
正文到此结束

本文标题:Oracle WebLogic XMLDecoder反序列化漏洞(CVE-2019-2725绕过)

本文链接:https://www.hantaosec.com/1437.html

除非另有说明,本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议

声明:转载请注明文章来源及链接,不带链接禁止任何转载!访问任何网络安全相关文章,则视为默认接受网络安全文章免责声明 ,请认真阅读。

喜欢我的文章吗?
别忘了点赞或赞赏,让我知道创作的路上有你陪伴。