Oracle WebLogic Server 是一款由Oracle公司开发的企业级应用服务器,用于构建和部署多层分布式应用程序,具有高性能、可扩展性和可靠性。
2024年7月,Oracle官方发布补丁修复了长亭安全研究员发现的远程代码执行漏洞。该漏洞利用简单,攻击者无需认证即可利用该漏洞,建议受影响的客户尽快修复漏洞。
【原创0day】Oracle WebLogic Server 远程代码执行漏洞(CVE-2024-21181)
长亭安全应急响应中心
2024-07-19 20:19:14
收藏
2024-07-19 20:19 上海
检测业务是否受到此漏洞影响,请联系长亭应急服务团队!
漏洞描述
Description
01
漏洞成因
由于WebLogic对于通过T3/IIOP协议传入的数据过滤不严格,允许未经授权的攻击者使用T3/IIOP协议向服务器发送特制的请求,可以利用反序列化漏洞在未经授权的情况下远程执行任意代码或控制服务器。
漏洞影响
攻击者成功利用该漏洞将会导致严重的安全后果。攻击者通过利用反序列化漏洞,可以在服务器上执行任意代码,从而获得服务器的进一步控制权。最严重的情况下,这可能导致服务器的完全接管,敏感数据泄露,甚至将服务器转化为发起其他攻击的跳板。
处置优先级:高
漏洞类型:反序列化
漏洞危害等级:高
权限认证要求:无需任何权限
系统配置要求:默认配置可利用
用户交互要求:无需用户交互
利用成熟度:POC/EXP已公开
批量可利用性:可使用通用原理POC/EXP进行检测/利用
修复复杂度:低,官方提供升级修复方案
影响版本
Affects
02
version == 12.2.1.4.0, 14.1.1.0.0
解决方案
Solution
03
临时缓解方案
1. 在确认不影响的业务的前提下可临时禁用T3/IIOP协议。
2. 限制访问来源地址,如非必要,不要将系统开放在互联网上。
升级修复方案
Oracle官方已发布升级补丁包,可在Weblogic官网下载使用。
漏洞复现
Reproduction
04
代码执行:
写文件:
补丁修复后:
产品支持
Support
05
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测。
洞鉴:以自定义POC形式支持该漏洞的原理检测。
全悉:已发布规则升级包支持该漏洞检测。
雷池:非HTTP协议,不支持检测。
时间线
Timeline
06
4月2日 长亭科技安全研究员报送漏洞
7月16日 官方发布补丁修复漏洞
7月19日 长亭安全应急响应中心发布通告
参考资料:
[1]. https://www.oracle.com/security-alerts/cpujul2024.html
长亭应急响应服务
全力进行产品升级
及时将风险提示预案发送给客户
检测业务是否受到此次漏洞影响
请联系长亭应急服务团队
7*24小时,守护您的安全
第一时间找到我们:
应急响应热线:4000-327-707