【漏洞預警】CNNVD 關于Oracle WebLogic WLS核心組件遠程代碼執行漏洞情況的通報

近日，國家信息安全漏洞庫（CNNVD）收到Oracle WebLogic WLS核心組件遠程代碼執行漏洞（CNNVD-201804-803、CVE-2018-2628）情況的報送。遠程攻擊者可利用漏洞在未授權的情況下發送攻擊數據，通過T3協議在WebLogic Server中執行反序列化操作,實現任意代碼執行。Oracle WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影響。目前，該漏洞的攻擊代碼已在互聯網上公開，且Oracle官方已發布補丁修復該漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

一、漏洞介紹

Oracle WebLogic Server是美國甲骨文（Oracle）公司開發的一款適用于云環境和傳統環境的應用服務中間件，它提供了一個現代輕型開發平臺，支持應用從開發到生產的整個生命周期管理，并簡化了應用的部署和管理。在WebLogic 的 RMI（遠程方法調用）通信中，T3協議用來在 WebLogic Server 和其他 Java 程序間傳輸數據，該協議在開放WebLogic控制臺端口的應用上默認開啟。

Oracle WebLogic Server WLS核心組件遠程代碼執行漏洞（CNNVD-201804-803、CVE-2018-2628），攻擊者可以在未經授權的情況下，遠程發送攻擊數據，通過T3協議在WebLogic Server中執行反序列化操作，反序列過程中會遠程加載RMI registry，加載回來的registry又會被反序列化執行，最終實現了遠程代碼的執行。

二、危害影響

攻擊者可利用漏洞在未授權的情況下遠程發送攻擊數據，通過T3協議在WebLogic Server中執行反序列化操作,最終實現遠程代碼執行。該漏洞涉及了多個版本，具體受影響版本如下：

Oracle WebLogic Server 10.3.6.0

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 12.2.1.2

Oracle WebLogic Server 12.2.1.3

三、修復建議

目前，Oracle官方已經發布補丁修復該漏洞，請用戶及時檢查產品版本，如確認受到漏洞影響，請盡快安裝補丁進行防護。

1、Oracle官方更新鏈接如下：

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

2、臨時解決方案

通過設置weblogic.security.net.ConnectionFilterImpl默認連接篩選器，對T3/T3s協議的訪問權限進行配置，阻斷漏洞利用途徑。具體如下：

（a）進入WebLogic控制臺，在base_domain的配置頁面中，進入“安全”選項卡頁面，點擊“篩選器”，進入連接篩選器配置。

（b）在連接篩選器中輸入：WebLogic.security.net.ConnectionFilterImpl，在連接篩選器規則中輸入：* * 7001 deny t3 t3s

（c）保存后規則即可生效，無需重新啟動。

來源：國家信息安全漏洞庫