欢迎user
漏洞综述
漏洞背景
Weblogic是由美国Oracle公司出品的一款基于JAVAEE架构的中间件,主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器,在国内外应用十分广泛。近日,新华三攻防实验室威胁预警团队监测到网上公开了Weblogic的反序列化漏洞(CVE-2022-21350)利用细节,该漏洞为Oracle一月份公布的多个Weblogic漏洞的其中一个拒绝服务漏洞(CVE-2022-21350)新的利用方式,目前该漏洞的评分仅有6.5分,但该漏洞存在反序列化利用方式,影响较大,建议受影响用户尽快安装更新补丁,避免受到影响。
漏洞原理
该漏洞是由于 Oracle WebLogic Server 的核心组件中存在输入验证问题,未经身份验证的恶意攻击者可以通过 T3协议来破坏Oracle WebLogic Server,从而导致对Oracle WebLogic服务器访问数据的未授权更新、插入或删除,以及导致 Oracle WebLogic Server 的拒绝服务(部分 DOS)。此外,该漏洞还可以使用类似CVE-2020-2555的利用方式,通过生成带有恶意命令的反序列化文件并利用T3协议发送至目标服务器,从而能够在目标服务器上执行任意命令。
漏洞复现
搭建受该漏洞影响的WebLogic环境(12.1.3.0.0版本),生成带有恶意命令的反序列化文件并发送至目标服务器:
成功执行弹出计算器命令:
影响范围
WebLogic 12.1.3.0.0
WebLogic 12.2.1.3.0
WebLogic 12.2.1.4.0
WebLogic 14.1.1.0.0
漏洞等级:高危
处置方法
官方补丁
目前官方已发布更新补丁,受影响用户可下载安装更新。官方链接:https://www.oracle.com/security-alerts/cpujan2022.html
新华三解决方案
1、新华三安全设备防护方案
新华三IPS规则库将在1.0.172版本支持对该漏洞的识别,H3C全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量,并进行主动拦截。
2、态势感知产品解决方案
新华三态势感知产品已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。
3、新华三云安全能力中心解决方案
新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。
参考链接