• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 中間件
  • -
    • Oracle WebLogic Server遠程代碼執(zhí)行漏洞
    • CNNVD編號:未知
    • 危害等級: 高危 
    • CVE編號:CVE-2021-2109
    • 漏洞類型: 遠程代碼執(zhí)行
    • 威脅類型:未知
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2021-01-22
    • 更新時間:2021-01-22

    漏洞簡介

    1、組件介紹

    WebLogic是美國Oracle公司出品的一個Application Server,確切的說是一個基于JAVAEE架構(gòu)的中間件,WebLogic是用于開發(fā)、集成、部署和管理大型分布式Web應(yīng)用、網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫應(yīng)用的Java應(yīng)用服務(wù)器。

    WebLogic將Java的動態(tài)功能和Java Enterprise標準的安全性引入大型網(wǎng)絡(luò)應(yīng)用的開發(fā)、集成、部署和管理之中,是商業(yè)市場上主要的Java(J2EE)應(yīng)用服務(wù)器軟件(Application Server)之一,是世界上第一個成功商業(yè)化的J2EE應(yīng)用服務(wù)器,具有可擴展性,快速開發(fā),靈活,可靠性等優(yōu)勢。

    2、漏洞描述

    WebLogic遠程代碼執(zhí)行漏洞(CVE-2021-2109)在Oracle官方在2021年1月份發(fā)布的最新安全補丁中披露。經(jīng)過身份驗證的攻擊者可以通過構(gòu)造惡意LDAP請求利用該漏洞,成功利用此漏洞可能接管Oracle WebLogic Server。

    3、漏洞分析

    該漏洞觸發(fā)點位于WebLogic Server管理后臺的JNDI綁定頁面,在consolejndi.portal文件中搜索JNDIBindingPageGeneral,發(fā)現(xiàn)該Label指向jndibinding.portlet文件。


    找到j(luò)ndibinding.portlet文件,文件很短,但發(fā)現(xiàn)一個關(guān)鍵信息,即定義了來自該Label頁面的請求由哪個類處理,由此找到了觸發(fā)console操作的Action。


    進入JNDIBindingAction類,發(fā)現(xiàn)了JDNI注入攻擊的關(guān)鍵點lookup函數(shù),但是這里有兩點需要注意:

    1、lookup處于一個判斷條件中,要想判斷條件為真,需要保證serverMbean不為null

    2、lookup參數(shù)為context和bindName拼接后的值,想要造成攻擊需要控制這兩個參數(shù)。


    接下來一一構(gòu)造兩個條件。第一個條件需要找到合適的serverMbean值,首先尋找serverMbean值的來源,發(fā)現(xiàn)由domainMbean.lookupServer獲取,在該函數(shù)下斷點得到serverMbean值。


    此時第一個條件已經(jīng)滿足,此serverName應(yīng)該就是WebLogic Server配置中的服務(wù)器名稱,在此是默認值A(chǔ)dminServer。接下來構(gòu)造第二個條件,由于lookup參數(shù)由context和bindName拼接,需要尋找如何控制這兩個參數(shù)。


    前面可以看到context和bindName分別由getContext和getBinding函數(shù)獲取,跟進發(fā)現(xiàn)兩個函數(shù)內(nèi)部都是由getComponent來獲取,繼續(xù)跟進。

    在getComponent內(nèi)部發(fā)現(xiàn),這個函數(shù)就是把由getObjectIdentifier()接收到的值用分號作為分隔符取值,因此在構(gòu)造PoC之時,首先要用分號分隔PoC,又因為拼接context和bindName時會自動加一個.,所以可以將惡意類地址中的一個IP分隔的點換為分號。最終PoC的構(gòu)造就是前兩個值分別是context和bindName,分別對應(yīng)ldap惡意地址的兩段,然后再接分號,拼接最后一個值為serverMbean也就是前面說的AdminServer。

    漏洞公示

    搭建WebLogic 12.2.1.3.0環(huán)境,發(fā)送精心構(gòu)造的惡意請求,在WebLogic服務(wù)器端成功執(zhí)行了命令:

    參考網(wǎng)站

    暫無

    受影響實體

    目前受影響的WebLogic版本:

    WebLogic Server 10.3.6.0.0

    WebLogic Server 12.1.3.0.0

    WebLogic Server 12.2.1.3.0

    WebLogic Server 12.2.1.4.0

    WebLogic Server 14.1.1.0.0

    補丁

    1、官方修復(fù)建議

    目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:

    https://www.oracle.com/security-alerts/cpujan2021.html

    2、深信服解決方案

    深信服下一代防火墻】可輕松防御此漏洞, 建議部署深信服下一代防火墻的用戶更新至最新的安全防護規(guī)則,可輕松抵御此高危風(fēng)險。

    深信服云】已第一時間從云端自動更新防護規(guī)則,云盾用戶無需操作,即可輕松、快速防御此高危風(fēng)險。

    深信服安全感知平臺】可檢測利用該漏洞的攻擊,實時告警,并可聯(lián)動【深信服下一代防火墻等產(chǎn)品】實現(xiàn)對攻擊者ip的封堵。

    深信服安全運營服務(wù)】深信服云端安全專家提供7*24小時持續(xù)的安全運營服務(wù)。在漏洞爆發(fā)之初,云端安全專家即對客戶的網(wǎng)絡(luò)環(huán)境進行漏洞掃描,保障第一時間檢查客戶的主機是否存在此漏洞。對存在漏洞的用戶,檢查并更新了客戶防護設(shè)備的策略,確保客戶防護設(shè)備可以防御此漏洞風(fēng)險。

    深信服安全云眼】在漏洞爆發(fā)之初,已完成檢測更新,對所有用戶網(wǎng)站探測,保障用戶安全。不清楚自身業(yè)務(wù)是否存在漏洞的用戶,可注冊信服云眼賬號,獲取30天免費安全體驗。

    注冊地址:http://saas.sangfor.com.cn

    深信服云鏡】在漏洞爆發(fā)第一時間即完成檢測能力的發(fā)布,部署云端版云鏡的用戶只需選擇緊急漏洞檢測,即可輕松、快速檢測此高危風(fēng)險。部署離線版云鏡的用戶需要下載離線更新包來獲取該漏洞的檢測能力。