下载 | WebLogic高危反序列化漏洞CVE-2018-2628 可远程执行代码 检测工具及防护手册

近日,WebLogic爆出反序列化漏洞,CVE编号CVE-2018-2628,攻击者可以在未授权的情况下远程执行代码。根据NTI绿盟威胁情报中心NTI统计结果,在全球范围内对互联网开放Weblogic服务的资产数量多达19,229,其中归属中国地区的受影响资产数量为1,787。绿盟科技发布预警通告,相关信息如下

推荐阅读:

2017年12月,绿盟科技网络安全威胁周报2017.50 Weblogic WLS组件漏洞CVE-2017-10271,PV 8148

2017年12月,WebLogic遭watch-smartd挖矿恶意软件感染 绿盟科技分析防护方案及检测工具,PV 10871

Update:绿盟科技发布在线免费检测工具

 https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?page_id=12

CVE-2018-2628漏洞概要

针对CVE-2018-2628漏洞情况,安全加整理了相关内容如下,这些内容可能来自于CVE-2018-2628涉及厂商、CVE-2018-2628漏洞信息发布组织、CVE、SecurityFocus及其它第三方组织。

CVE-2018-2628漏洞标识

  • CVE ID:CVE-2018-2628
  • BUGTRAQ ID:【BUGTRAQ ID】
  • 漏洞涉及厂商漏洞库ID:【漏洞涉及厂商漏洞库ID】
  • CNNVD ID:【CNNVD漏洞编号】
  • 绿盟科技漏洞库ID:【绿盟科技漏洞库ID】

CVE-2018-2628漏洞相关链接

【增补中】

  • 百度链接:https://www.baidu.com/s?wd=CVE-2018-2628
  • 绿盟科技漏洞库链接:http://www.nsfocus.net/vulndb/{绿盟科技漏洞库ID}
  • Oracle官方链接:http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

CVE-2018-2628漏洞描述

【增补中】

CVE评价该漏洞

CVE尚处于保留状态

** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.

SecurityFocus评价该漏洞

绿盟科技评价该漏洞

当地时间4月17日,北京时间4月18日凌晨,Oracle官方发布了4月份的关键补丁更新CPU(Critical Patch Update),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),通过该漏洞,攻击者可以在未授权的情况下远程执行代码。

该漏洞由绿盟科技研究员首先发现,并及时上报给了Oracle官方,关于该漏洞的更多信息以及绿盟科技的技术防护方案将随后发布,请关注绿盟科技官网。相关链接:

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

受影响的区域

根据NTI(绿盟威胁情报中心)统计结果,在全球范围内对互联网开放Weblogic服务的资产数量多达19,229,其中归属中国地区的受影响资产数量为1,787。

由于此漏洞产生于Weblogic T3服务,当开放Weblogic控制台端口(默认为7001端口)时,T3服务会默认开启,因此会造成较大影响,结合曾经爆出的Weblogic WLS 组件漏洞(CVE-2017-10271),不排除会有攻击者利用挖矿的可能,因此,建议受影响企业用户尽快部署防护措施。

绿盟科技威胁情报中心(NTI)提供对互联网开放网络资产信息查看的功能,企业用户可通过在NTI上检索自有资产信息端口开放情况,查看企业资产是否受此漏洞影响。

绿盟威胁情报中心NTI为企业客户提供互联网资产核查服务,使得企业客户能够及时掌握自身资产的安全态势以及资产变动情况,服务详情可咨询:NTI@nsfocus.com,或者咨询对应的客户经理。

CVE-2018-2628漏洞影响范围

CVE-2018-2628漏洞涉及厂商

oracle

CVE-2018-2628漏洞涉及产品

WebLogic

CVE-2018-2628漏洞影响版本

  •  Weblogic 10.3.6.0

  •  Weblogic 12.1.3.0

  •  Weblogic 12.2.1.2

  •  Weblogic 12.2.1.3

CVE-2018-2628漏洞解决方案

【增补中】

{CVE-2018-2628漏洞涉及厂商}声明

【增补中】

绿盟科技声明

Oracle WebLogic反序列化漏洞CVE-2018-2628检测工具排查,企业客户可以联系当地技术支持人员进行上门检测!另外,绿盟云发布了在线免费检测工具

 https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?page_id=12

Oracle WebLogic反序列化漏洞CVE-2018-2628官方补丁,Oracle官方已经在今天的关键补丁更新(CPU)中修复了该漏洞,强烈建议受影响的用户尽快升级更新进行防护。

注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。

http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

 

Oracle WebLogic反序列化漏洞CVE-2018-2628临时防护方案

可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。WebLogic Server 提供了名为 weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器,此连接筛选器接受所有传入连接,可通过此连接筛选器配置规则,对t3及t3s协议进行访问控制,详细操作步骤如下:

1. 进入Weblogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。

   2. 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:* * 7001 deny t3 t3s

3. 保存后规则即可生效,无需重新启动。

 

连接筛选器规则格式如:target localAddress localPort action protocols,其中:

  • target 指定一个或多个要筛选的服务器。
  • localAddress 可定义服务器的主机地址。(如果指定为一个星号 (*),则返回的匹配结果将是所有本地 IP 地址。)
  • localPort 定义服务器正在监听的端口。(如果指定了星号,则匹配返回的结果将是服务器上所有可用的端口)。
  • action 指定要执行的操作。(值必须为“allow”或“deny”。)
  • protocols 是要进行匹配的协议名列表。(必须指定下列其中一个协议:http、https、t3、t3s、giop、giops、dcom 或 ftp。) 如果未定义协议,则所有协议都将与一个规则匹配。

 

 

Oracle WebLogic反序列化漏洞CVE-2018-2628安全产品防护

绿盟网络入侵防护系统(NIPS)

绿盟科技针对此漏洞已经提供了防护规则,已经部署绿盟网络入侵防护系统(NIPS)的用户,可通过规则升级进行有效的防护,请相关用户可参考以下步骤进行规则库升级。

1. 从官网下载最新的NIPS升级包,以5.6.10版本为例,访问以下链接可获得最新的规则升级包:

http://update.nsfocus.com/update/downloads/id/21006

2. 在系统升级中点击离线升级,选择系统规则库,选择对应的文件,点击上传。

3. 更新成功后,在系统默认规则库中查找规则编号:23614,即可查询到对应的规则详情。

注意事项:该升级包升级后引擎自动重启生效,不会造成会话中断,但ping包会丢3~5个,请选择合适的时间升级。

 

绿盟下一代防火墙系统(NF)

      已经部署绿盟下一代防火墙系统(NF)的用户,可通过规则升级进行有效的防护,请相关用户可参考以下步骤进行规则库升级。

1. 从官网下载最新的NF升级包,以6.0.1版本为例,访问以下链接可获得最新的规则升级包:http://update.nsfocus.com/update/downloads/id/21007

2. 在NF的规则升级界面进行升级:

3. 手动选择规则包,点击提交即可完成更新。

CVE-2018-2628漏洞安全加声明

本页信息用以描述CVE-2018-2628漏洞的信息,这些信息便于您对CVE-2018-2628漏洞进行快速阅读并了解相关信息。如下信息如有空缺,则CVE-2018-2628漏洞相关内容正在增补中,如果您知悉相关内容或者如下内容有异议,可以联系站长:安全加QQ:468215215;Weixin:gnaw0725

CVE-2018-2628漏洞相关内容

CVE-2018-2628漏洞相关漏洞

漏洞列表

CVE-2018-2628漏洞相关文章

绿盟科技WebLogic反序列化漏洞(CVE-2018-2628)安全预警

点击图片下载

发表评论