【漏洞预警更新】Weblogic反序列化远程代码执行漏洞(CVE-2019-2725)处置手册

2019-10-24 12:02:23 浏览数 (1)

预警编号:NS-2019-0015-2

2019-04-28

TAG:

Oracle、Weblogic、远程代码执行、wls9-async、wls-wsat、CNVD-C-2019-48814、CVE-2019-2725

危害等级:

高,未授权攻击者利用此漏洞可执行任意代码。

版本:

3.0

1

漏洞概述

4月17日,国家信息安全漏洞共享平台(CNVD)公开了Weblogic反序列化远程代码执行漏洞(CNVD-C-2019-48814),此漏洞存在于weblogic自带的wls9_async_response.war组件及wls-wsat组件中,由于在反序列化处理输入信息的过程中存在缺陷,未经授权的攻击者可以发送精心构造的恶意 HTTP 请求,获取服务器权限,实现远程代码执行。

大部分Weblogic Server版本默认包含此此通告的不安全文件,请相关用户引起关注,及时采取防护措施。

【更新】

绿盟科技伏影实验室在发现此漏洞后,第一时间向Oracle官方进行上报。北京时间4月27日,Oracle官方针对此漏洞发布了修复补丁,请受影响用户尽快安装更新补丁,以形成对此漏洞的防护能力。

CVE编号:CVE-2019-2725

CVSS 评分:9.8,CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

参考链接:

http://www.cnvd.org.cn/webinfo/show/4989

https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

SEE MORE →

2影响范围

受影响版本

  • Oracle WebLogic Server 10.*
  • Oracle WebLogic Server 12.1.3

此漏洞影响启用bea_wls9_async_response组件及wls-wsat组件的所有Weblogic版本。

3漏洞排查

3.1 产品检测

绿盟远程安全评估系统(RSAS)及绿盟科技Web应用漏洞扫描系统(WVSS)已经针对该漏洞提供了原理扫描规则支持,规则版本号如下:

升级包版本号

升级包下载链接

RSAS V5 web插件包

051833

http://update.nsfocus.com/update/downloads/id/28031

RSAS V6 web插件包

V6.0R02F00.1303

http://update.nsfocus.com/update/downloads/id/28030

RSAS V6 系统插件包

V6.0R02F01.1402

http://update.nsfocus.com/update/downloads/id/28019

WVSS V6 web插件包

V6.0R03F00.130

http://update.nsfocus.com/update/downloads/id/28033

关于RSAS的配置指导,请参考如下链接:

https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg

3.2 绿盟云上检测

绿盟云提供在线的检测入口,企业用户可进入页面检测自有资产是否受此漏洞影响。

  • 手机端访问地址:

https://cloud.nsfocus.com/megi/holes/hole_weblogic_2019_4_17.html

  • PC端访问地址:

https://cloud.nsfocus.com/#/secwarning/secwarning_news?menu_id=urgent

3.3 不安全组件启用状态排查

  • wls9_async_response

wls9_async_response为异步通讯服务组件,用户可通过访问路径/_async/AsyncResponseService,判断该组件是否开启。若返回如下页面,则此组件开启。请相关用户引起关注,及时采取防护措施。

  • wls-wsat

用户可通过访问路径 /wls-wsat/CoordinatorPortType,判断wls-wsat组件是否开启。若返回如下页面,则此组件开启。请相关用户引起关注,及时采取防护措施。

4漏洞防护

4.1 官方补丁

官方已针对此漏洞发布版本号为10.3.6.*的修复补丁,请相关用户及时下载受影响产品更新补丁,并参照补丁安装包中的readme文件进行安装更新,以保证长期有效的防护。

补丁下载链接:https://support.oracle.com/rs?type=doc&id=2535708.1

官方即将于北京时间4月30日发布版本号为12.1.3.*产品修复补丁,相关用户请关注Oracle官方补丁发布情况,在修复补丁发布后,及时进行安装修复。

注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。

具体操作也可参考官方技术支持文档:

http://docs.oracle.com/en/middleware/index.html

4.2 产品防护

4.2.1 客户侧产品防护

针对此漏洞,绿盟科技防护产品已发布规则升级包,强烈建议相关用户升级规则,形成安全产品防护能力。安全防护产品规则版本号如下:

安全防护产品

规则版本号

升级包下载链接

规则编号

IPS

5.6.8.771

http://update.nsfocus.com/update/downloads/id/28016

2446924470

5.6.9.20147

http://update.nsfocus.com/update/downloads/id/28014

5.6.10.20147

http://update.nsfocus.com/update/downloads/id/28015

NF

5.6.7.771

http://update.nsfocus.com/update/downloads/id/28029

6.0.1.771

http://update.nsfocus.com/update/downloads/id/28028

WAF

6.0.7.0.41353

http://update.nsfocus.com/update/downloads/id/28020

27526166

6.0.6.1.41355

http://update.nsfocus.com/update/downloads/id/28024

6.0.5.1.41359

http://update.nsfocus.com/update/downloads/id/28027

6041.41358

http://update.nsfocus.com/update/downloads/id/28025

规则升级的操作步骤详见如下链接:

IPS:https://mp.weixin.qq.com/s/JsRktENQNj1TdZSU62N0Ww

NF:https://mp.weixin.qq.com/s/bggqcm9VqHiPnfV1XoNuDQ

4.2.2 云端防护

除部署在客户侧的安全防护设备外,绿盟科技也提供了两款云端SaaS服务进行保障。

  • 网站安全监测服务

网站安全监测服务已经针对此次安全漏洞对所有监测站点进行了专项检查并通知受影响客户。

  • 网站安全云防护服务(云WAF)

网站安全云防护服务已经第一时间上线此次漏洞专项防护策略,为客户提供了安全防护能力。被防护网站已不受该漏洞影响。

客户可以访问绿盟云http://cloud.nsfocus.com了解更多。服务开通请联系安全运营中心400-818-6868转2。

4.3 临时防护方案

官方暂未发布针对此漏洞的修复补丁,在官方修复之前,可以采取以下方式进行临时防护。

4.3.1 配置URL访问控制策略

部署于公网的用户,可通过访问控制策略禁止对/_async/*及/wls-wsat/*路径的访问。

4.3.2 删除不安全文件

删除wls9_async_response.war、wls-wsat.war文件及相关文件夹,并重启Weblogic服务。具体文件路径如下:

版本号为10.3.*:

Middlewarewlserver_10.3serverlib%DOMAIN_HOME%serversAdminServertmp_WL_internal%DOMAIN_HOME%serversAdminServertmp.internal

版本号为12.1.3:

MiddlewareOracle_Homeoracle_commonmodules%DOMAIN_HOME%serversAdminServertmp.internal%DOMAIN_HOME%serversAdminServertmp_WL_internal

注:wls9_async_response.war及wls-wsat.war属于一级应用包,对其进行移除或更名操作可能造成未知的后果,Oracle官方不建议对其进行此类操作。若在直接删除此包的情况下应用出现问题,将无法得到Oracle产品部门的技术支持。请用户进行影响评估,并对此文件进行备份后,再执行此操作。

4.3.3 禁用bea_wls9_async_response及wls-wsat

用户可通过在weblogic启动参数中禁用bea_wls9_async_response的方式,对此漏洞形成临时防护。

在禁用不安全组件前,需请开发人员确认应用系统是否使用了weblogic提供的异步WebService功能,排查方法请附录章节。如果确认没有使用,可以使用如下方式禁用此功能:

1、 以windows系统为例,在启动文件(%DOMAIN_HOME%binstartWeblogic.cmd)中加如下参数:

set JAVA_OPTIONS=%JAVA_OPTIONS% -Dweblogic.wsee.skip.async.response=trueset JAVA_OPTIONS=%JAVA_OPTIONS% -Dweblogic.wsee.wstx.wsat.deployed=false

2、对应用程序进行严格测试。

3、测试结果没有问题后,重启Weblogic服务,使参数生效。

附录排查应用是否使用Weblogic异步WebService

请开发人员检查程序代码中是否引用了WebService相关的类:

weblogic.wsee.async.AsyncPreCallContext; weblogic.wsee.async.AsyncCallContextFactory; weblogic.wsee.async.AsyncPostCallContext;weblogic.jws.ServiceClient;weblogic.jws.AsyncResponse; weblogic.jws.AsyncFailure;

END

作者:绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

0 人点赞