WebLogic JAVA反序列化漏洞分析报告
时间:2018-07-26来源:点击:1984分享:
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVA EE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
一、 事件背景

WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVA EE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。


自2015年起,WebLogic被曝出多个反序列化漏洞,Oracle官方相继发布了一系列反序列化漏洞补丁。但是近期,WebLogic又被曝出之前的反序列化漏洞补丁存在绕过安全风险,用户更新补丁后,仍然存在被绕过并成功执行远程命令攻击的情况。


Oracle WebLogic Server 10.3.6.0, 12.1.3.0, 12.2.1.0和12.2.1.1多个版本存在反序列化远程命令执行漏洞,攻击者可以通过构造恶意请求报文远程执行命令,获取系统权限,存在严重的安全风险。


天融信安全云服务运营中心长期以来密切关注互联网安全态势,对于安全威胁程度高,影响广泛的安全漏洞将进行持续追踪。



二、漏洞分析及危害

1、漏洞描述

序列化指的是把对象转换成字节流,便于保存在内存、文件、数据库中;而反序列化则是其逆过程,由字节流还原成对象。Java中ObjectOutputStream类的writeObject()方法可以实现序列化,ObjectInputStream类的readObject()方法用于反序列化。


由于WebLogic采用黑名单的方式过滤危险的反序列化类,所以只要找到不在黑名单范围内的反序列化类就可以绕过过滤,执行系统命令。这次的漏洞就是利用了这一点,通过 JRMP(Java Remote Messaging Protocol ,是特定于 Java 技术的、用于查找和引用远程对象的协议)协议达到执行任意反序列化内容。


2、 漏洞危害

攻击者可以利用WebLogic的反序列化漏洞,通过构造恶意请求报文远程执行命令,危害较大。


WebLogic在国内的的应用范围比较广,支撑着很多企业的核心业务。在很多公司的内网部署有WebLogic,攻击者一旦利用此漏洞,便可以近一步进行内网渗透,取得服务器的系统权限。



三、数据分析

天融信安全云服务运营中心在关注到相关事件信息后,抽样对全球范围内使用 WebLogic的主机进行了数据统计及分析,主机的数量约为45000台。其中排名前五的国家或分别为:美国、中国、韩国、加拿大、瑞典。


1、世界分布

下图为世界范围内使用 ,WebLogic的主机分布情况:                

1.png

图1:世界分布情况

下图为全球范围内,使用 WebLogic的主机排名前十的国家:

2.png

图2:世界统计排名前十的地区

2、国内分布

天融信安全云服务运营中心对我国境内使用 WebLogic的主机进行了抽样数据统计及分析,主机的数量约为12000台。其中排名前五的省份地区分别为:北京市、广东省、上海市、浙江省、江苏省。


下图为我国境内,使用 WebLogic的主机分布情况:

3.png

图3:国内分布情况

下图为我国境内,使用 WebLogic的主机排名前十的省份及地区:

4.png

图4:国内统计排名前十


四、防范建议

Oracle官方已经发布了最新的漏洞补丁。请用户及时到Oracle 官方网站下载补丁,逐一进行安装升级。


参考链接:

http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

http://www.cnvd.org.cn/flaw/show/CNVD-2017-00919

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3248

 

注:在发布漏洞公告信息之前,天融信安全云服务运营中心都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果,天融信不承担相应责任。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。


QUICK CONTACT
快捷通道
产品中心
解决方案
安全研究
技术支持
关于我们