CVE-2018-2628安全補丁并不完善 致WebLogic服務器仍易受黑客攻擊
本月早些時候,甲骨文公司(Oracle)針對旗下WebLogic Server產品發布了一個至關重要的安全補丁,用于修補一個被評定為“高危”的Java反序列化遠程代碼執行漏洞,該漏洞允許攻擊者能夠在未授權的情況下遠程執行任意代碼。
然而,一位推特ID為“pyn3rd”并聲稱來自阿里云安全團隊的安全研究人員在上周六(4月27日)發表的推文中表示,Oracle發布的這個安全補丁似乎并不那么“可靠”,一種方法已經被發現可用來繞過這個安全補丁并實現該漏洞的利用。
Oracle WebLogic Server是由Oracle公司開發的一款適用于云環境和傳統環境的應用服務中間件,充當多層企業應用程序的前端用戶界面和后端數據庫之間的中間層。它為所有組件提供一套完整的服務,并自動處理應用程序行為的詳細信息,這極大簡化了應用的部署和管理。
被追蹤為CNNVD-201804-803(CVE-2018-2628)的WebLogic漏洞最初是由NSFOCUS安全團隊的廖新喜在2017年11月份通報給Oracle公司的,可以通過TCP端口7001的網絡訪問被利用。
遠程攻擊者可利用該漏洞在未授權的情況下發送攻擊數據,通過T3協議在WebLogic Server中執行反序列化操作,實現任意代碼執行。在WebLogic 的 RMI(遠程方法調用)通信中,T3協議用來在 WebLogic Server 和其他 Java 程序間傳輸數據,而該協議在開放WebLogic控制臺端口的應用上是默認開啟的。
該漏洞涉及了多個版本,具體受影響版本如下:
Oracle WebLogic Server 10.3.6.0
Oracle WebLogic Server 12.1.3.0
Oracle WebLogic Server 12.2.1.2
Oracle WebLogic Server 12.2.1.3
雖然pyn3rd只是發布了一個GIF動態圖片來作為概念證明(PoC),而不是發布完整的繞過代碼或任何技術細節,但是對于熟練的黑客來說,要想找到一種方法來實現同樣的目標,幾乎僅需要幾個小時或幾天的時間。
目前,尚不清楚Oracle公司何時會發布新的安全補丁,以解決這個能夠繞過Oracle安全補丁并實現CNNVD-201804-803(CVE-2018-2628)漏洞利用的新問題。
由于該漏洞的攻擊代碼已在互聯網上被公開,另外已經有攻擊者開始在互聯網上掃描易受攻擊的WebLogic服務器。因此我們建議還沒有安裝Oracle補丁的用戶應及時確認自己的服務器是否受到漏洞的影響,并盡快采取修補措施。即使這個補丁并不完善,但至少能讓你獲得初步的保護。
來源:黑客視界
