北京时间2018年10月17日,Oracle官方发布了10月份的关键补丁(CPU,Critical Patch Update),其中包含一个高危Weblogic反序列化漏洞(CVE-2018-3245)。该漏洞通过JRMP 协议,利用RMI机制的缺陷达到了执行任意反序列化代码的目的。攻击者可以在未经授权的情况下利用该漏洞,远程发送被封装在T3协议的攻击数据,进而在WebLogic Server中执行反序列化操作,从而达到任意代码执行的目的。
安全狗攻防实验室第一时间关注了事件进展。根据最新的研究分析,我们总结出了一些防护建议,敬请用户知晓。
一、官方升级Oracle 官方已经在本次的关键补丁更新(CPU)中修复了该漏洞,强烈建议受影响的用户尽快升级更新进行防护。用户可以参考官方提供的修复方式:https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
二、控制 T3 协议的访问此漏洞产生于 WebLogic 的 T3 服务,因此可通过控制 T3 协议的访问来临时阻断针对该漏洞的攻击。当开放 WebLogic 控制台端口(默认为 7001 端口)时,T3 服务会默认开启。具体操作如下:
(1)进入 WebLogic 控制台,在 base_domain 的配置页面中,进入“安全”选项卡页面,点击“筛选器”选项卡,进入连接筛选器配置
(2)在连接筛选器中输入:“weblogic.security.net.ConnectionFilterImpl”,在连接筛选器规则中输入:“127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s”(使得t3 和 t3s 协议的所有端口只允许本地访问)。
(3)保存后需重新启动,规则方可生效。
三、升级 JDK 版本建议用户将 JDK 升级到 jdk-8u20 以上的版本