一、
变乱配景
WebLogic是美国Oracle公司出品的一个applicationserver,确切的说是一个基于JAVAEE架构的中心件,WebLogic是用于开辟、集成、摆设和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和JavaEnterprise标准的安全性引入大型网络应用的开辟、集成、摆设和管理之中。
自2015年起,WebLogic被曝出多个反序列化弊端,Oracle官方相继发布了一系列反序列化弊端补丁。但是近期,WebLogic又被曝出之前的反序列化弊端补丁存在绕过安全风险,用户更新补丁后,仍旧存在被绕过并乐成实行长途下令攻击的环境。
OracleWebLogicServer10.3.6.0,12.1.3.0,12.2.1.0和12.2.1.1多个版本存在反序列化长途下令实行弊端,攻击者可以通过构造恶意哀求报文长途实行下令,获取体系权限,存在严峻的安全风险。
天融信安全云服务运营中心长期以来密切关注互联网安全态势,对于安全威胁程度高,影响广泛的安全弊端将举行连续追踪。
二、
弊端分析及危害
1、弊端形貌
序列化指的是把对象转换成字节流,便于生存在内存、文件、数据库中;而反序列化则是其逆过程,由字节流还原成对象。Java中ObjectOutputStream类的writeObject()方法可以实现序列化,ObjectInputStream类的readObject()方法用于反序列化。
由于WebLogic采取黑名单的方式过滤伤害的反序列化类,以是只要找到不在黑名单范围内的反序列化类就可以绕过过滤,实行体系下令。这次的弊端就是利用了这一点,通过JRMP(JavaRemoteMessagingProtocol,是特定于Java技能的、用于查找和引用长途对象的协议)协议到达实行恣意反序列化内容。
2、弊端危害
攻击者可以利用WebLogic的反序列化弊端,通过构造恶意哀求报文长途实行下令,危害较大。
WebLogic在国内的的应用范围比力广,支持着很多企业的核心业务。在很多公司的内网摆设有WebLogic,攻击者一旦利用此弊端,便可以近一步举行内网渗出,取得服务器的体系权限。
三、
数据分析
天融信安全云服务运营中心在关注到相干变乱信息后,抽样对环球范围内利用WebLogic的主机举行了数据统计及分析,主机的数量约为45000台。此中排名前五的国家或分别为:美国、中国、韩国、加拿大、瑞典。
1、天下分布
下图为天下范围内利用,WebLogic的主机分布环境:
图1:天下分布环境
下图为环球范围内,利用WebLogic的主机排名前十的国家:
图2:天下统计排名前十的地区
2、国内分布
天融信安全云服务运营中心对我国境内利用WebLogic的主机举行了抽样数据统计及分析,主机的数量约为12000台。此中排名前五的省份地区分别为:北京市、广东省、上海市、浙江省、江苏省。
下图为我国境内,利用WebLogic的主机分布环境:
图3:国内分布环境
下图为我国境内,利用WebLogic的主机排名前十的省份及地区:
图4:国内统计排名前十
四、
防范发起
Oracle官方已经发布了最新的弊端补丁。请用户及时到Oracle官方网站下载补丁,逐一举行安装升级。
参考链接:
https://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html
https://www.cnvd.org.cn/flaw/show/CNVD-2017-00919
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3248
注:在发布弊端公告信息之前,天融信安全云服务运营中心都力图包管每条公告的正确性和可靠性。然而,采取和实行公告中的发起则完全由用户本身决定,其大概引起的题目和结果,天融信不负担相应责任。是否采取我们的发起取决于您个人或您企业的决定,您应思量其内容是否符合您个人或您企业的安全战略和流程。
热门保举
CopyrightYourWebSite.SomeRightsReserved.
京ICP备2023016396号-1PoweredByESCLINK.
我要评论