CNCERT:關於Oracle WebLogic wls9-async元件存在反序列化遠端命令執行漏洞的安全公告 (第二版)
安全公告編號:CNTA-2019-0015
2019年4月17日,國家資訊保安漏洞共享平臺(CNVD)收錄了由中國民生銀行股份有限公司報送的Oracle WebLogic wls9-async反序列化遠端命令執行漏洞(CNVD-C-2019-48814)。攻擊者利用該漏洞,可在未授權的情況下遠端執行命令。目前,官方補丁尚未釋出,漏洞細節未公開。
一、漏洞情況分析
WebLogic Server是美國甲骨文(Oracle)公司開發的一款適用於雲環境和傳統環境的應用服務中介軟體,它提供了一個現代輕型開發平臺,支援應用從開發到生產的整個生命週期管理,並簡化了應用的部署和管理。
wls9-async元件為WebLogic Server提供非同步通訊服務,預設應用於WebLogic部分版本。由於該WAR包在反序列化處理輸入資訊時存在缺陷,攻擊者通過傳送精心構造的惡意 HTTP 請求,即可獲得目標伺服器的許可權,在未授權的情況下遠端執行命令。
CNVD對該漏洞的綜合評級為“高危”。
二、漏洞影響範圍
該漏洞的影響版本如下:
WebLogic 10.X
WebLogic 12.1.3
CNVD祕書處對WebLogic服務在全球範圍內的分佈情況進行分析,結果顯示該服務的全球使用者規模約為6.9萬,其中位於我國境內的使用者規模約為2.9萬。
CNVD祕書處組織技術力量進行技術檢測,發現我國境內WebLogic使用者中,共有2017個網站受此漏洞影響,所佔比例為6.9%,該比例略高於我平臺在2018年4月18日收錄的WebLogic Server反序列化漏洞(CNVD-2018-07811)的影響範圍。
CNVD國家漏洞庫已對上述受漏洞影響的單位完成通報,及時消除漏洞攻擊威脅。
三、漏洞處置建議
目前,Oracle官方暫未釋出補丁,臨時解決方案如下:
1、 刪除該war包並重啟WebLogic服務;
2、 通過訪問策略控制禁止 /_async/* 及 /wls-wsat/* 路徑的URL訪問。
建議使用WebLogic Server構建網站的資訊系統運營者進行自查,發現存在漏洞後,按照臨時解決方案及時進行修復。
感謝CNVD技術組成員單位——北京知道創宇資訊科技有限公司為本報告提供的技術支援。
宣告:本文來自CNVD漏洞平臺,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如有侵權,請聯絡 [email protected]。