freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

【漏洞通告】Oracle WebLogic wls9-async反序列化远程命令执行漏洞通告
2019-10-12 16:26:19
近日,青藤实验室监测到多家用户出现了利用WebLogic wls9-async反序列化进行挖矿的入侵事件,其主要体征为系统负载升高。用户运行的weblogic服务存在最新的weblogic反序列化漏洞,被成功利用后进行挖矿程序的下载与执行,从而进行虚拟货币的挖取,进而获取利益。

1.综述WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于J**AEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
WebLogic wls9_async_response 包在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命令。部分版本WebLogic中默认包含此WAR包,主要是为WebLogic Server提供异步通讯服务。

2.漏洞概述漏洞类型:反序列化远程命令执行
危险等级:高危
利用条件:Weblogic在受影响版本内
受影响范围:WebLogic 10.3.6.0.0,12.1.3.0.0,12.2.1.1.0,12.2.1.2.0

3.漏洞编号CNVD-C-2019-48814

4.漏洞描述WebLogic wls9_async_response 包在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命令。部分版本WebLogic中默认包含此WAR包,主要是为WebLogic Server提供异步通讯服务。

5.修复建议官方暂未发布补丁,临时解决方案如下:
(1) 删除wls9_async_response的war包并重启webLogic,具体路径如下:
Weblogic 10 版本:
/%WLS_HOME%/wlserver_10.3/server/lib/bea_wls9_async_response.war
Weblogic 12 版本:
/%WLS_HOME%/oracle_common/modules/com.oracle.webservices.wls.bea-wls9-async-response_12.1.3.war
(2) 通过访问策略控制禁止 /_async/* 路径的URL访问。

6.即时检测登录青藤主机平台,选择资产清点—分级视图—Web服务—Weblogic

服务名筛选出Weblogic服务,查看资产中的Weblogic主机分布和版本情况。

v2-383aa5c29f01ed17a4655e3506e28a6a_hd.j


在 WebLogic 地址加入目录:/_async 和 /_async/AsyncResponseService ,测试是否启用该组件,如果能访问则说明启用wls9_async 组件,则存在漏洞。

v2-b03ab7912da7de5a88f896e4c560ed98_hd.j



PS:相关后门可通过入侵检测—后门检测,查看是否存在。

v2-ae11eb85c0b212febc171929cd55e401_hd.j



参考链接:

http://www.cnvd.org.cn/webinfo/show/4989
https://mp.weixin.qq.com/s/DyEn1p1KUX2HILfk6wMJ3w


本文作者:, 转载请注明来自FreeBuf.COM

被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑