亚信安全监测到互联网上曝出Oracle WebLogic反序列化远程命令执行漏洞。此次攻击可以绕过Oracle官方在4月份发布的最新安全补丁,攻击者可利用该漏洞在未授权的情况下远程执行命令。
漏洞名称:
Oracle WebLogic反序列化远程命令执行漏洞 (绕过CVE-2019-2725补丁)
漏洞简介:
由于在处理反序列化信息时没有合理进行过滤,攻击者可以通过发送精心构造的恶意HTTP请求来利用该漏洞,从而获取服务器权限并在未授权情况下远程执行任意代码。
影响范围:
WebLogic 10.X
WebLogic 12.1.3
风险级别:
高危
临时解决方案:
1、通过访问策略控制禁止 /_async/跟/wls-wsat/ 路径的URL访问。
2、删除wls9_async_response.war与wls-wsat.war 文件及相关文件夹,并重启 Weblogic 服务。
删除操作可能造成未知后果,请自行评估,谨慎操作。
需要删除的文件路径如下:
10.3.*版本路径:
\Middleware\wlserver_10.3\server\lib\
%DOMAIN_HOME%\servers\AdminServer\tmp_WL_internal\ %DOMAIN_HOME%\servers\AdminServer\tmp.internal\
12.1.3 版本路径:
\Middleware\Oracle_Home\oracle_common\modules\
%DOMAIN_HOME%\servers\AdminServer\tmp.internal\
%DOMAIN_HOME%\servers\AdminServer\tmp_WL_internal\
请用户密切关注Oracle官方安全通告,参考链接
https://www.oracle.com/technetwork/topics/security/alerts-086861.html
亚信安全解决方案:
针对此漏洞,亚信安全DS产品的DPI规则如下:
针对此漏洞,亚信安全TDA产品的规则如下: