一、

　　事件背景

　　WebLogic是美國Oracle公司出品的一個application server，確切的說是一個基于JAVA EE架構(gòu)的中間件，WebLogic是用于開發(fā)、集成、部署和管理大型分布式Web應用、網(wǎng)絡應用和數(shù)據(jù)庫應用的Java應用服務器。將Java的動態(tài)功能和Java Enterprise標準的安全性引入大型網(wǎng)絡應用的開發(fā)、集成、部署和管理之中。

　　自2015年起，WebLogic被曝出多個反序列化漏洞，Oracle官方相繼發(fā)布了一系列反序列化漏洞補丁。但是近期，WebLogic又被曝出之前的反序列化漏洞補丁存在繞過安全風險，用戶更新補丁后，仍然存在被繞過并成功執(zhí)行遠程命令攻擊的情況。

　　Oracle WebLogic Server 10.3.6.0, 12.1.3.0, 12.2.1.0和12.2.1.1多個版本存在反序列化遠程命令執(zhí)行漏洞，攻擊者可以通過構(gòu)造惡意請求報文遠程執(zhí)行命令，獲取系統(tǒng)權(quán)限，存在嚴重的安全風險。

　　天融信安全云服務運營中心長期以來密切關(guān)注互聯(lián)網(wǎng)安全態(tài)勢，對于安全威脅程度高，影響廣泛的安全漏洞將進行持續(xù)追蹤。

　　二、

　　漏洞分析及危害

　　1、漏洞描述

　　序列化指的是把對象轉(zhuǎn)換成字節(jié)流，便于保存在內(nèi)存、文件、數(shù)據(jù)庫中；而反序列化則是其逆過程，由字節(jié)流還原成對象。Java中ObjectOutputStream類的writeObject()方法可以實現(xiàn)序列化，ObjectInputStream類的readObject()方法用于反序列化。

　　由于WebLogic采用黑名單的方式過濾危險的反序列化類，所以只要找到不在黑名單范圍內(nèi)的反序列化類就可以繞過過濾，執(zhí)行系統(tǒng)命令。這次的漏洞就是利用了這一點，通過 JRMP（Java Remote Messaging Protocol ，是特定于 Java 技術(shù)的、用于查找和引用遠程對象的協(xié)議）協(xié)議達到執(zhí)行任意反序列化內(nèi)容。

　　2、 漏洞危害

　　攻擊者可以利用WebLogic的反序列化漏洞,通過構(gòu)造惡意請求報文遠程執(zhí)行命令，危害較大。

　　WebLogic在國內(nèi)的的應用范圍比較廣，支撐著很多企業(yè)的核心業(yè)務。在很多公司的內(nèi)網(wǎng)部署有WebLogic,攻擊者一旦利用此漏洞,便可以近一步進行內(nèi)網(wǎng)滲透,取得服務器的系統(tǒng)權(quán)限。

　　三、

　　數(shù)據(jù)分析

　　天融信安全云服務運營中心在關(guān)注到相關(guān)事件信息后，抽樣對全球范圍內(nèi)使用 WebLogic的主機進行了數(shù)據(jù)統(tǒng)計及分析，主機的數(shù)量約為45000臺。其中排名前五的國家或分別為：美國、中國、韓國、加拿大、瑞典。

　　1、世界分布

　　下圖為世界范圍內(nèi)使用 ，WebLogic的主機分布情況：

圖1：世界分布情況

　　下圖為全球范圍內(nèi)，使用 WebLogic的主機排名前十的國家：

圖2：世界統(tǒng)計排名前十的地區(qū)

　　2、國內(nèi)分布

　　天融信安全云服務運營中心對我國境內(nèi)使用 WebLogic的主機進行了抽樣數(shù)據(jù)統(tǒng)計及分析，主機的數(shù)量約為12000臺。其中排名前五的省份地區(qū)分別為：北京市、廣東省、上海市、浙江省、江蘇省。

　　下圖為我國境內(nèi)，使用 WebLogic的主機分布情況：

圖3：國內(nèi)分布情況

　　下圖為我國境內(nèi)，使用 WebLogic的主機排名前十的省份及地區(qū)：

圖4：國內(nèi)統(tǒng)計排名前十

　　四、

　　防范建議

　　Oracle官方已經(jīng)發(fā)布了最新的漏洞補丁。請用戶及時到Oracle 官方網(wǎng)站下載補丁，逐一進行安裝升級。

　　參考鏈接：

　　https://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

　　https://www.cnvd.org.cn/flaw/show/CNVD-2017-00919

　　https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3248

　　注:在發(fā)布漏洞公告信息之前，天融信安全云服務運營中心都力爭保證每條公告的準確性和可靠性。然而，采納和實施公告中的建議則完全由用戶自己決定，其可能引起的問題和結(jié)果，天融信不承擔相應責任。是否采納我們的建議取決于您個人或您企業(yè)的決策，您應考慮其內(nèi)容是否符合您個人或您企業(yè)的安全策略和流程。

　　熱點推薦