2018年4月18日，國家信息安全漏洞共享平臺（CNVD）收錄了WebLogic Server WLS核心組件反序列化漏洞（CNVD-2018-07811，對應CVE-2018-2628）。攻擊者利用該漏洞，可在未授權的情況下遠程執行代碼。漏洞驗證代碼已被公開(kāi)，近期被不法分子利用進(jìn)行大規模攻擊的可能性較大，廠(chǎng)商已發(fā)布補丁進(jìn)行修復。

        一、漏洞情況分析

        WebLogic Server是美國甲骨文（Oracle）公司開(kāi)發(fā)的一款適用于云環(huán)境和傳統環(huán)境的應用服務(wù)中間件，它提供了一個(gè)現代輕型開(kāi)發(fā)平臺，支持應用從開(kāi)發(fā)到生產(chǎn)的整個(gè)生命周期管理，并簡(jiǎn)化了應用的部署和管理。在WebLogic Server 的 RMI（遠程方法調用）通信中，T3協(xié)議（豐富套接字）用來(lái)在 WebLogic Server 和其他 Java 程序（包括客戶(hù)端及其他 WebLogic Server 實(shí)例）間傳輸數據，該協(xié)議在開(kāi)放WebLogic控制臺端口的應用上默認開(kāi)啟。

        2018年4月18日凌晨，Oracle官方發(fā)布了4月份關(guān)鍵補丁更新CPU（Critical Patch Update）,其中包含該Weblogic反序列化高危漏洞。利用該漏洞，攻擊者可以在未經(jīng)授權的情況下，遠程發(fā)送攻擊數據，通過(guò)T3協(xié)議在WebLogic Server中執行反序列化操作，反序列過(guò)程中會(huì )遠程加載RMI registry,加載回來(lái)的registry又會(huì )被反序列化執行，最終實(shí)現了遠程代碼的執行。

        CNVD對該漏洞的綜合評級為“高?！?。 

        二、漏洞影響范圍

        根據官方公告情況，該漏洞的影響版本如下：

        WebLogic 10.3.6.0

        WebLogic 12.1.3.0

        WebLogic 12.2.1.2

        WebLogic 12.2.1.3

        CNVD秘書(shū)處組織對WebLogic服務(wù)在全球范圍內的分布情況進(jìn)行了統計，結果顯示該服務(wù)的全球規模約為6.9萬(wàn)，其中我國境內的用戶(hù)量約為1.2萬(wàn)。隨機抽樣檢測結果顯示，大約為6%的WebLogic服務(wù)受此漏洞影響。

         三、漏洞處置建議

        1、臨時(shí)修復建議：通過(guò)設置weblogic.security.net.ConnectionFilterImpl默認連接篩選器，對T3/T3s協(xié)議的訪(fǎng)問(wèn)權限進(jìn)行配置，阻斷漏洞利用途徑。

        2、美國甲骨文公司已發(fā)布了修復補丁，建議及時(shí)更新至最新版本：http://www.tjdsmy.cn/technetwork/security-advisory/cpuapr2018-3678067.html。

        3、建議臨時(shí)使用防火墻限制從不可信主機到被防護服務(wù)器7001端口的t3和t3s 協(xié)議。

        附：參考鏈接：

        http://www.tjdsmy.cn/flaw/show/CNVD-2018-07811

        http://www.tjdsmy.cn/technetwork/security-advisory/cpuapr2018-3678067.html

        http://www.tjdsmy.cn/cve-2018-2628