[更新1.0:PoC公开]2020-10 补丁日:Oracle多个产品高危漏洞安全风险通告
2020-10-21 10:32

报告编号:B6-2020-102101

报告来源:360CERT

报告作者:360CERT

更新日期:2020-10-21

0x01 事件简述

2020年10月21日,360CERT监测发现 Oracle官方 发布了 10月份 的安全更新。

此次安全更新发布了 421 个漏洞补丁,其中 Oracle Fusion Middleware46 个漏洞补丁更新,主要涵盖了 Oracle WeblogicOracle Endeca Information Discovery IntegratorOracle WebCenter PortalOracle BI PublisherOracle Business Intelligence Enterprise Edition 等产品。在本次更新的 46 个漏洞补丁中有 36 个漏洞无需身份验证即可远程利用。

对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。

0x02 风险等级

360CERT对该事件的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛
360CERT评分 10

0x03 漏洞详情

Oracle WebLogic Server多个反序列化漏洞

Weblogic本次更新了多个反序列化漏洞,这些漏洞允许未经身份验证的攻击者通过HTTP、IIOP、T3协议发送构造好的恶意请求,从而在Oracle WebLogic Server执行代码。严重漏洞编号如下:

  • CVE-2020-14882
  • CVE-2020-14841
  • CVE-2020-14825
  • CVE-2020-14859
  • CVE-2020-14820

CVE-2020-14882 POC 已经公开

其中成功利用 CVE-2020-14882 漏洞的远程攻击者可以构造特殊的HTTP请求,在未经身份验证的情况下接管 WebLogic Server ,并在 WebLogic Server 执行任意代码。

漏洞成功利用如下:

enter description here

Oracle Communications(Oracle通信应用软件)多个严重漏洞

此重要补丁更新包含针对 Oracle Communications 的52个新的安全补丁。其中的41个漏洞无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:

  • CVE-2020-10683
  • CVE-2020-11973
  • CVE-2020-2555
  • CVE-2020-11984

Oracle E-Business Suite(Oracle电子商务套件)多个严重漏洞

此重要补丁更新包含针对 Oracle E-Business Suite 的27个新的安全补丁。其中的25个漏洞无需身份验证即可被远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:

  • CVE-2020-14855
  • CVE-2020-14805
  • CVE-2020-14875
  • CVE-2020-14876

Oracle Enterprise Manager(Oracle企业管理软件)多个严重漏洞

此重要补丁更新包含针对 Oracle Enterprise Manager 的11个新安全补丁。其中的10个漏洞无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:

  • CVE-2019-13990
  • CVE-2018-11058
  • CVE-2019-17638
  • CVE-2020-5398
  • CVE-2020-1967

Oracle Financial Services Applications(Oracle金融服务应用软件)多个严重漏洞

此重要补丁更新包含针对 Oracle Financial Services 应用程序的53个新的安全补丁。其中的49个漏洞无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:

  • CVE-2019-17495
  • CVE-2019-10173
  • CVE-2020-10683
  • CVE-2020-9546
  • CVE-2020-11973
  • CVE-2020-14824

Oracle MySQL

此重要补丁更新包含54个针对 Oracle MySQL 的新安全补丁。其中的4个漏洞无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:

  • CVE-2020-8174

Oracle Database Server

此重要补丁更新包含针对 Oracle数据库服务器 的30个新安全补丁。这些漏洞中的4个无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:

  • CVE-2020-14735
  • CVE-2020-14734

0x04 修复建议

通用修补建议

及时更新补丁,参考oracle官网发布的补丁:Oracle Critical Patch Update Advisory - October 2020

Weblogic 临时修补建议

  1. 如果不依赖 T3 协议进行 JVM 通信,禁用 T3 协议:

    • 进入 WebLogic 控制台,在 base_domain 配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器。
    • 在连接筛选器中输入: weblogic.security.net.ConnectionFilterImpl ,在连接筛选器规则框中输入 7001 deny t3 t3s 保存生效。
    • 重启Weblogic项目,使配置生效。
  2. 如果不依赖 IIOP 协议进行 JVM 通信,禁用 IIOP 协议:

    • 进入 WebLogic 控制台,在 base_domain 配置页面中,进入安全选项卡页面。
    • 选择 “服务”->”AdminServer”->”协议” ,取消 “启用IIOP”的勾选。
    • 重启Weblogic项目,使配置生效。

0x05 产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。 img

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

0x06 时间线

2020-10-20 Oracle发布安全更新通告

2020-10-21 360CERT发布通告

0x07 参考链接

  1. Oracle Critical Patch Update Advisory - October 2020

0x08 特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

2020-10 补丁日:Oracle多个产品高危漏洞安全风险通告

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。