一、情況分析
2020年7月15日,Oracle官方發(fā)布了2020年7月安全更新公告,包含了其家族WebLogic Server在內(nèi)的多個(gè)產(chǎn)品安全漏洞公告����,其中有涉及IIOP、T3協(xié)議遠(yuǎn)程代碼執(zhí)行的高危漏洞���,對(duì)應(yīng)CVE編號(hào):CVE-2020-14645�。
根據(jù)公告���,漏洞存在于Oracle WebLogic Server IIOP�、T3協(xié)議中����,惡意攻擊者可通過(guò)此反序列化漏洞在目標(biāo)系統(tǒng)中執(zhí)行任意命令,從而獲取管理權(quán)限�����,建議部署該服務(wù)的用戶(hù)盡快測(cè)試和部署漏洞修復(fù)補(bǔ)丁或采取緩解措施加固系統(tǒng)�����。
二��、影響范圍
CVE-2020-14645漏洞影響以下Oracle WebLogic Server版本:
WebLogic Server 10.3.6.0.0版本
WebLogic Server 12.1.3.0.0版本
WebLogic Server 12.2.1.3.0版本
WebLogic Server 12.2.1.4.0版本
WebLogic Server 14.1.1.0.0版本
根據(jù)分析�����,在Oracle WebLogic Server 10.3.6.0.0����、12.1.3.0.0、12.2.1.3.0�����、12.2.1.4.0��、14.1.1.0.0版本中���,默認(rèn)開(kāi)啟的IIOP��、T3協(xié)議再次發(fā)現(xiàn)反序列化漏洞��,惡意攻擊者可通過(guò)該漏洞進(jìn)行遠(yuǎn)程代碼執(zhí)行攻擊��,從而獲取目標(biāo)系統(tǒng)管理權(quán)限�,此漏洞利用難度低����,威脅風(fēng)險(xiǎn)較大,建議部署該服務(wù)的用戶(hù)盡快測(cè)試和部署漏洞修復(fù)補(bǔ)丁或采取緩解措施加固系統(tǒng)�。
三����、處置建議
緊急:
目前漏洞細(xì)節(jié)和利用代碼暫未公開(kāi)�,但可以通過(guò)補(bǔ)丁對(duì)比方式定位漏洞觸發(fā)點(diǎn)并開(kāi)發(fā)漏洞利用代碼,建議及時(shí)測(cè)試并升級(jí)到漏洞修復(fù)的版本��。
臨時(shí)緩解加固措施:
使用連接篩選器臨時(shí)阻止外部訪問(wèn)7001端口的T3/T3s協(xié)議���。
連接篩選器:weblogic.security.net.ConnectionFilterImpl
規(guī)則示例:
0.0.0.0/0 * 7001 deny t3 t3s #拒絕所有訪問(wèn)
允許和拒絕指定IP規(guī)則示例:
192.168.1.0/24 * 7001 allow t3 t3s #允許指定IP段訪問(wèn)
192.168.2.0/24 * 7001 deny t3 t3s #拒絕指定IP段訪問(wèn)
連接篩選器說(shuō)明參考(英文):
https://docs.oracle.com/cd/E24329_01/web.1211/e24485/con_filtr.htm#SCPRG377
參考鏈接:
https://www.oracle.com/security-alerts/cpujul2020.htm
