概述
因為最近南網搞得護網行動,其中需要對weblogic做一些漏洞整改,這裡簡單介紹下最新的一個漏洞及整改的方式,大家可以簡單看下。
CNVD-C-2019-48814
2019年4月17日,國家信息安全漏洞共享平臺(CNVD)收錄了Oracle WebLogic wls9-async反序列化遠程命令執行漏洞(CNVD-C-2019-48814)。攻擊者利用該漏洞,可在未授權的情況下遠程執行命令。目前,漏洞細節已經公開,近期內針對該類攻擊事件將劇增。
WebLogic Server是美國甲骨文(Oracle)公司開發的一款適用於雲環境和傳統環境的應用服務中間件,它提供了一個現代輕型開發平臺,支持應用從開發到生產的整個生命週期管理,並簡化了應用的部署和管理。
wls9-async組件為WebLogic Server提供異步通訊服務,默認應用於WebLogic部分版本。由於該WAR包在反序列化處理輸入信息時存在缺陷,攻擊者通過發送精心構造的惡意 HTTP 請求,即可獲得目標服務器的權限,在未授權的情況下遠程執行命令。
CNVD對該漏洞的綜合評級為“高危”。
安全報告信息
漏洞復現
下圖為利用exp攻擊服務器遠程執行調用計算器命令的情景復現。
處置建議
目前,Oracle官方暫未發佈補丁,臨時解決方案如下:
1、找到並刪除ws9_ async_response.war、wIs-wsat.war並重啟 Weblogic服務。
2、用戶也可通過網站狗或雲御自定義規則策略,控制禁止 /_async/* 及 /wls-wsat/* 路徑的URL訪問。
建議使用WebLogic Server構建網站的信息系統運營者進行自查,發現存在漏洞後,按照臨時解決方案及時進行修復。
臨時整改weblogic漏洞不難,不過建議做好相關備份工作再做整改。後面會分享更多devops和DBA方面的乾貨,感興趣的朋友可以關注一下~
閱讀更多 波波說運維 的文章
