CVE-2019-2729:Oracle WebLogic 反序列化漏洞预警
2019-06-16 01:07

报告编号:B6-2019-061601

报告来源:360-CERT

报告作者:360-CERT

更新日期:2019-06-19

0x00 事件背景

2019年06月15日,360CERT监测到在野的Oracle WebLogic远程反序列化代码执行漏洞,该漏洞绕过了WebLogic用于修复CVE-2019-2725的补丁,攻击者可以发送精心构造的恶意HTTP请求,在未认证情况下达到远程执行代码的效果。Oracle官方在6月18号的安全公告中为该漏洞添加了编号CVE-2019-2729,同时发布了最新补丁。360CERT经研判后判定该漏洞综合评级为“高危”,强烈建议受影响的用户尽快根据临时修补建议进行处置并打上最新的补丁,防止受到到攻击者攻击。

0x01 漏洞细节

该漏洞出现是因为安全研究人员针对WebLogic之前修复XMLDecoder反序列化漏洞所使用黑明单方式补丁找到了新的绕过方法,从而导致在之前的漏洞利用点依然能通过反序列化的方式来执行代码。

public_image

0x02 影响范围

影响产品:

  • Oracle WebLogic Server10.3.6.0.0
  • Oracle WebLogic Server12.1.3.0.0
  • Oracle WebLogic Server12.2.1.3.0

影响组件:

  • wls9_async_response.war
  • wls-wsat.war

0x03 修复建议

  1. 删除wls9_async_response.warwls-wsat.war文件及相关文件夹并重启Weblogic服务。

    具体路径为:

    10.3.*版本:

     \Middleware\wlserver_10.3\server\lib\
     %DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
     %DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
    

    12.1.3版本:

     \Middleware\Oracle_Home\oracle_common\modules\
     %DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
     %DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
    
  2. 通过访问策略控制禁止 /_async/* 路径的URL访问

  3. 及时升级支持Weblogic的Java版本。

0x04 时间线

2019-06-15 360CERT发现事件并确认

2019-06-16 360CERT对预警进行更新

2019-06-19 360CERT对预警进行更新