WebLogic Blind XXE漏洞通告(CVE-2020-14820)
漏洞概述 Oracle官方發布了10月份的安全補丁, 補丁中包含啟明星辰ADLab發現并第一時間提交給官方的漏洞,漏洞編號為CVE-2020-14820。通過該漏洞,攻擊者可以在未授權的情況下將payload封裝在T3或IIOP協議中,通過對協議中的payload進行反序列化,從而實現對存在漏洞的WebLogic組件進行遠程Blind XXE攻擊。 漏洞時間軸 § 2020年5月11日,ADLab將漏洞詳情提交給Oracle官方; § 2020年5月12日,Oracle官方確認漏洞存在并開始著手修復; § 2020年10月21日,Oracle官方發布安全補丁。 受影響版本Weblogic 10.3.6.0.0Weblogic 12.1.3.0.0Weblogic 12.2.1.3.0Weblogic 12.2.1.4.0Weblogic 14.1.1.0.0
漏洞利用 測試環境:WebLogicServer 10.3.6.0.0 漏洞利用效果:
規避方案 1、升級補丁 https://www.oracle.com/security-alerts/cpuoct2020.html 2、控制T3協議的訪問 具體操作: ( 1 ) 進入WebLogic控制臺,在base_domain的配置頁面中,進入“安全”選項卡頁面,點擊“篩選器”,進入連接篩選器配置。 ( 2 ) 在連接篩選器中輸入: weblogic.security.net.ConnectionFilterImpl,在連接篩選器規則中輸入:127.0.0.1 * * allow t3t3s,0.0.0.0/0 * *deny t3 t3s(t3和t3s協議的所有端口只允許本地訪問)。 ( 3 ) 保存后需重新啟動,規則方可生效。
3、禁止啟用IIOP協議 登陸WebLogic控制臺,base_domain >服務器概要 >AdminServer
來源:網絡安全應急技術國家工程實驗室
