新闻中心
公司新闻

[漏洞预警] Weblogic反序列化高危漏洞预警

发布日期:2018-07-19

Weblogic反序列化漏洞

Oracle官方4月发布的Weblogic补丁(针对CVE-2018-2628反序列化漏洞进行了修复)存在黑名单限制不严格的问题,导致黑客可以利用JDK固有的一些特殊类进行反序列化漏洞绕过攻击,因此通过4月份补丁修复的Weblogic服务器依然存在风险,需及时加固.

Weblogic是Oracle公司出品的一款应用服务器,通常也会被称为中间件,主要用于大型分布式Web应用的开发和部署,在国内外应用非常广泛。序列化是指将一个类对象存储成二进制文件的过程,反序列化是指将二进制文件还原成类对象的过程。在反序列化过程中,存在校验不严的漏洞,可被利用来执行自定义的程序代码,造成远程代码执行的攻击效果,这一系列漏洞都被称为反序列化漏洞。Weblogic,Jboss等中间件都曾爆出过反序列化漏洞。


漏洞检测及修复

此次绕过攻击原理和CVE-2018-2628类似,也是通过T3协议通信,利用JRMP(Java Remote Method Protocol)方式传输恶意的序列化数据给受害服务器进行攻击。


1、发送T3协议攻击包到weblogic服务器



2、Weblogic连接黑客中间服务器接受序列化对象,执行命令



3、执行命令成功(写入文件)



绕过攻击漏洞影响到Weblogic 10.3.6.0, 12.1.3.0, 12.2.1.2, 12.2.1.3多个版本.


临时解决方案
1、在不使用T3协议的情况下,直接禁用该协议
2、及时更新JDK和JRE软件版本,缓解反序列化系列漏洞的利用
3、关注Oracle官方补丁更新


迪普科技解决方案

迪普科技安全研究院监测到Weblogic反序列化漏洞后,迅速采取了应急措施。

经验证前期DPtech IPS2000、FW1000针对CVE-2018-2628漏洞4月底更新的特征规则已可对该绕过攻击进行有效防护,但还是建议升级官网最新特征库:

◆产品系列:IPS2000,FW1000

◆漏洞库版本:IPS-R2.1.215,IPS-R3.1.49

DPtech Scanner1000可对该漏洞进行检测,帮助用户提前发现系统风险。对应漏扫库版本号如下:

◆产品系列:Scanner1000

◆漏扫库版本: SCANNER1000-R2.2.30


迪普科技官网特征库下载地址:
http://www.dptech.com/down.php?3


 
迪普科技正在全力跟踪相关漏洞的最新进展,请启动设备自动更新特征库功能,有疑问的客户也可联系迪普科技当地办事处售后人员或拨打客户服务热线电话:400-6100-598,进一步了解相关情况。