类别:范文 / 日期:2025-03-22 / 浏览:23 / 评论:0
一、
事件背景
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVA EE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
自2015年起,WebLogic被曝出多个反序列化漏洞,Oracle官方相继发布了一系列反序列化漏洞补丁。但是近期,WebLogic又被曝出之前的反序列化漏洞补丁存在绕过安全风险,用户更新补丁后,仍然存在被绕过并成功执行远程命令攻击的情况。
Oracle WebLogic Server 10.3.6.0, 12.1.3.0, 12.2.1.0和12.2.1.1多个版本存在反序列化远程命令执行漏洞,攻击者可以通过构造恶意请求报文远程执行命令,获取系统权限,存在严重的安全风险。
天融信安全云服务运营中心长期以来密切关注互联网安全态势,对于安全威胁程度高,影响广泛的安全漏洞将进行持续追踪。
二、
漏洞分析及危害
1、漏洞描述
序列化指的是把对象转换成字节流,便于保存在内存、文件、数据库中;而反序列化则是其逆过程,由字节流还原成对象。Java中ObjectOutputStream类的writeObject()方法可以实现序列化,ObjectInputStream类的readObject()方法用于反序列化。
由于WebLogic采用黑名单的方式过滤危险的反序列化类,所以只要找到不在黑名单范围内的反序列化类就可以绕过过滤,执行系统命令。这次的漏洞就是利用了这一点,通过 JRMP(Java Remote Messaging Protocol ,是特定于 Java 技术的、用于查找和引用远程对象的协议)协议达到执行任意反序列化内容。
2、 漏洞危害
攻击者可以利用WebLogic的反序列化漏洞,通过构造恶意请求报文远程执行命令,危害较大。
WebLogic在国内的的应用范围比较广,支撑着很多企业的核心业务。在很多公司的内网部署有WebLogic,攻击者一旦利用此漏洞,便可以近一步进行内网渗透,取得服务器的系统权限。
三、
数据分析
天融信安全云服务运营中心在关注到相关事件信息后,抽样对全球范围内使用 WebLogic的主机进行了数据统计及分析,主机的数量约为45000台。其中排名前五的国家或分别为:美国、中国、韩国、加拿大、瑞典。
1、世界分布
下图为世界范围内使用 ,WebLogic的主机分布情况:
图1:世界分布情况
下图为全球范围内,使用 WebLogic的主机排名前十的国家:
图2:世界统计排名前十的地区
2、国内分布
天融信安全云服务运营中心对我国境内使用 WebLogic的主机进行了抽样数据统计及分析,主机的数量约为12000台。其中排名前五的省份地区分别为:北京市、广东省、上海市、浙江省、江苏省。
下图为我国境内,使用 WebLogic的主机分布情况:
图3:国内分布情况
下图为我国境内,使用 WebLogic的主机排名前十的省份及地区:
图4:国内统计排名前十
四、
防范建议
Oracle官方已经发布了最新的漏洞补丁。请用户及时到Oracle 官方网站下载补丁,逐一进行安装升级。
参考链接:
https://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html
https://www.cnvd.org.cn/flaw/show/CNVD-2017-00919
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3248
注:在发布漏洞公告信息之前,天融信安全云服务运营中心都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果,天融信不承担相应责任。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。
热点推荐
发表评论 / 取消回复