报告编号:B6-2021-042101
报告来源:360CERT
报告作者:360CERT
更新日期:2021-07-21
0x01 事件简述
2021年04月21日,360CERT监测发现Oracle官方
发布了2021年4月份
的安全更新。
此次安全更新发布了390
个漏洞补丁,其中Oracle Fusion Middleware
有45
个漏洞补丁更新,主要涵盖了Oracle Weblogic Server
、Oracle Outside In Technology
、Oracle Coherence
、Oracle Business Intelligence Enterprise Edition
等产品。在本次更新的45
个漏洞补丁中,有36
个漏洞无需身份验证即可远程利用。
对此,360CERT建议广大用户好资产自查以及预防工作,以免遭受黑客攻击。
0x02 风险等级
360CERT对该事件的评定结果如下
评定方式 | 等级 |
---|---|
威胁等级 | 严重 |
影响面 | 广泛 |
360CERT评分 | 9.8 |
0x03 漏洞详情
Oracle Weblogic Server多个严重漏洞
Weblogic本次更新了多个严重漏洞,这些漏洞允许未经身份验证的攻击者通过IIOP或T3协议发送构造好的恶意请求,从而在Oracle WebLogic Server执行代码或窃取关键数据。严重漏洞编号如下:
- CVE-2021-2136:未经身份验证的攻击者通过IIOP
协议发送恶意请求,最终接管服务器,评分9.8
- CVE-2021-2135:未经身份验证的攻击者通过T3
或IIOP
协议发送恶意请求,最终接管服务器,评分9.8
- CVE-2021-2157:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终对关键数据进行未授权访问,评分7.5
Oracle Communications Applications(Oracle通信应用软件)多个严重漏洞
此重要补丁更新包含针对Oracle Communications Applications
的13个新的安全补丁。其中的12个漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:
- CVE-2020-11612:未经身份验证的攻击者通过HTTP
协议发送恶意请求,最终接管Oracle Communications Design Studio
,评分9.8
- CVE-2020-28052:未经身份验证的攻击者通过HTTPS
协议发送恶意请求,最终接管Oracle Communications Messaging Server
,评分9.8
- CVE-2020-5421:未经身份验证的攻击者通过HTTPS
协议发送恶意请求,最终接管Oracle Communications Unified Inventory Management
,评分8.8
Oracle E-Business Suite(Oracle电子商务套件)多个严重漏洞
此重要补丁更新包含针对Oracle E-Business Suite
的70个新的安全补丁。其中的22个漏洞无需身份验证即可被远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:
- CVE-2021-2200:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终对关键数据进行未授权访问,评分9.1
- CVE-2021-2205:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终对关键数据进行未授权访问,评分9.1
- CVE-2021-2209:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终对关键数据进行未授权访问,评分8.5
Oracle Enterprise Manager(Oracle企业管理软件)多个严重漏洞
此重要补丁更新包含针对Oracle Enterprise Manager
的9个新的安全补丁。其中的8个漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:
- CVE-2019-17195:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终接管企业管理器基础平台,评分9.8
- CVE-2019-5064:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终接管Oracle应用测试套件,评分8.8
- CVE-2020-10878:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终对关键数据进行未授权访问,评分8.6
Oracle Financial Services Applications(Oracle金融服务应用软件)多个严重漏洞
此重要补丁更新包含针对Oracle Financial Services Applications
的15个新的安全补丁。其中的10个漏洞无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:
- CVE-2020-11998:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终接管Oracle FLEXCUBE私人银行业务,评分9.8
- CVE-2020-5413:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终接管Oracle FLEXCUBE私人银行业务,评分9.8
- CVE-2019-3773:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终接管Oracle FLEXCUBE私人银行业务,评分9.8
- CVE-2019-17638:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终对关键数据进行未授权访问及拒绝服务攻击,评分9.4
- CVE-2020-26217:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终接管金融服务应用程序,评分8.8
- CVE-2020-5421:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终接管Oracle FLEXCUBE私人银行业务,评分8.8
0x04 修复建议
通用修补建议
及时更新补丁,参考oracle官网发布的补丁:Oracle Critical Patch Update Advisory - April 2021。
临时修补建议
1. 如果不依赖T3协议进行JVM通信,禁用T3协议:
- 进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器。
- 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入7001 deny t3 t3s保存生效。
- 重启Weblogic项目,使配置生效。
2. 如果不依赖IIOP协议进行JVM通信,禁用IIOP协议:
- 进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面。
- 选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。
- 重启Weblogic项目,使配置生效。
0x05 产品侧解决方案
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360本地安全大脑
360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。
360终端安全管理系统
360终端安全管理系统软件是在360安全大脑极智赋能下,以大数据、云计算等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控功能于一体的企业级安全产品。
360终端安全管理系统已支持对相关漏洞进行检测和修复,建议用户及时更新漏洞库并安装更新相关补丁。
0x06 时间线
2021-04-20 Oracle发布安全更新通告
2021-04-21 360CERT发布通告
0x07 参考链接
1、 Oracle Critical Patch Update Advisory - April 2021
0x08 特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。
2021-04 补丁日: Oracle多个产品漏洞安全风险通告若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。