當(dāng)?shù)貢r(shí)間4月17日，北京時(shí)間4月18日凌晨，Oracle官方發(fā)布了4月份的關(guān)鍵補(bǔ)丁更新CPU（Critical Patch Update）其中包含一個(gè)高危的Weblogic反序列化漏洞(CVE-2018-2628)，通過該漏洞，攻擊者可以在未授權(quán)的情況下遠(yuǎn)程執(zhí)行任意代碼。

參考鏈接：

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

漏洞影響范圍

l??Weblogic 10.3.6.0

l??Weblogic 12.1.3.0

l??Weblogic 12.2.1.2

l??Weblogic 12.2.1.3

根據(jù)NTI（綠盟態(tài)勢感知平臺）反饋的結(jié)果，在全球范圍內(nèi)對互聯(lián)網(wǎng)開放weblogic服務(wù)的資產(chǎn)數(shù)量多達(dá)19229，其中歸屬中國地區(qū)的受影響資產(chǎn)為1787。

對應(yīng)中國歸屬各省市的的分布情況如下圖所示，北京地區(qū)開放的資產(chǎn)數(shù)量較多。

技術(shù)防護(hù)方案

用戶自查

使用如下命令檢查Weblogic版本是否在受影響范圍內(nèi)：

$ cd /lopt/bea92sp2/weblogic92/server/lib

$java -cp weblogic.jar weblogic.version

同時(shí)檢查是否對外開放了7001端口（Weblogic默認(rèn)端口）。

官方修復(fù)方案

官方已經(jīng)在本日發(fā)布的關(guān)鍵補(bǔ)丁更新中修復(fù)了該漏洞，請用戶及時(shí)下載更新進(jìn)行防護(hù)。

參考鏈接：

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

注：Oracle官方補(bǔ)丁需要用戶持有正版軟件的許可賬號，使用該賬號登陸https://support.oracle.com后，可以下載最新補(bǔ)丁。

臨時(shí)解決方案

CVE-2018-2628漏洞利用的第一步是與Weblogic服務(wù)器開放在服務(wù)端口上的T3服務(wù)建立socket連接，可通過控制T3協(xié)議的訪問來臨時(shí)阻斷攻擊行為。WebLogic Server?提供了名為weblogic.security.net.ConnectionFilterImpl?的默認(rèn)連接篩選器。此連接篩選器接受所有傳入連接，可通過此連接篩選器配置規(guī)則，對t3及t3s協(xié)議進(jìn)行訪問控制。

1.???進(jìn)入Weblogic控制臺，在base_domain的配置頁面中，進(jìn)入“安全”選項(xiàng)卡頁面，點(diǎn)擊“篩選器”，進(jìn)入連接篩選器配置。

2.???在連接篩選器中輸入：weblogic.security.net.ConnectionFilterImpl，在連接篩選器規(guī)則中輸入：* * 7001 deny t3 t3s

3.???保存后規(guī)則即可生效，無需重新啟動。

綠盟科技防護(hù)建議

綠盟科技檢測類產(chǎn)品與服務(wù)

1、公網(wǎng)資產(chǎn)可使用綠盟云 緊急漏洞在線檢測，檢測地址如下：

https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?page_id=12

2、內(nèi)網(wǎng)資產(chǎn)可以使用綠盟科技的入侵檢測系統(tǒng)(IDS)，遠(yuǎn)程安全評估系統(tǒng)（RSAS V6）和Web應(yīng)用漏洞掃描系統(tǒng)（WVSS） 進(jìn)行檢測。

• 入侵檢測系統(tǒng)（IDS）

http://update.nsfocus.com/update/listIds

• 遠(yuǎn)程安全評估系統(tǒng)（RSAS V6）

http://update.nsfocus.com/update/listRsasDetail/v/vulweb

• Web應(yīng)用漏洞掃描系統(tǒng)（WVSS）http://update.nsfocus.com/update/listWvssDetail/v/6/t/plg

通過上述鏈接，升級至最新版本即可進(jìn)行檢測

使用綠盟科技防護(hù)類產(chǎn)品（IPS/NF）進(jìn)行防護(hù)：

• 入侵防護(hù)系統(tǒng)（IPS）

http://update.nsfocus.com/update/listIps

• 下一代防火墻系統(tǒng)（NF）

http://update.nsfocus.com/update/listNf

通過上述鏈接，升級至最新版本即可進(jìn)行防護(hù)！

TRG安全平臺提供應(yīng)急響應(yīng)手冊

1. TSA（綠盟態(tài)勢感知平臺）

1.1 添加“weblogic漏洞攻擊嘗試”事件規(guī)則：

進(jìn)入BSA態(tài)勢感知主頁，進(jìn)入規(guī)則引擎APP，如圖1.1.

圖1.1進(jìn)入規(guī)則引擎APP

1.2?新建規(guī)則

圖 1.2?新建規(guī)則

1.3 再新建頁面

規(guī)則模式：專家模式

規(guī)則分類：網(wǎng)絡(luò)入侵規(guī)則

規(guī)則sql：

select sip dip sum(last_times) as atk_count sip dip min(timestamp) as start_time max(timestamp) as end_time concat_agg(related_id_list) as related_id_list

from internal_app_bsaips.ipslog

where rule_id in (2417424022236142307421757217582145629116303122368563299232676262760689663446163666197661896619560862)

group by sip dip

圖1.3?新建規(guī)則-專家模式填寫

1.4 點(diǎn)擊下一步，出現(xiàn)規(guī)則屬性設(shè)置頁面

名稱：weblogic漏洞攻擊嘗試

安全等級：中

事件階段：偵查

超時(shí)時(shí)間：1800（默認(rèn)值）

持續(xù)時(shí)間：3600（默認(rèn)值）

歸并屬性：sip，dip

事件類型：系統(tǒng)入侵事件-?漏洞攻擊

規(guī)則描述：該事件是攻擊者對weblogic服務(wù)器漏洞做攻擊嘗試。

規(guī)則建議：如果攻擊發(fā)起者為我方資產(chǎn)，則說明該資產(chǎn)已失陷。否則，如被攻擊系統(tǒng)為我方資產(chǎn)，并且部署有weblogic服務(wù)，請確認(rèn)是該資產(chǎn)是否存在事件詳情中的漏洞。

圖1.4?新建規(guī)則-規(guī)則屬性設(shè)置

點(diǎn)擊完成，完成該規(guī)則配置。

1.5?在規(guī)則列表中使之生效

圖1.5?使規(guī)則生效

2. ESP（綠盟企業(yè)安全平臺）

2.1?添加“weblogic漏洞攻擊嘗試”事件規(guī)則

打開ESP綠盟企業(yè)安全平臺，進(jìn)入 量化分析->?事件分析->?事件規(guī)則，點(diǎn)擊“創(chuàng)建規(guī)則”，如圖2.1所示，彈出如圖2.2所示的創(chuàng)建規(guī)則窗口。

圖2.1?選擇創(chuàng)建規(guī)則

2.2 在[創(chuàng)建規(guī)則->基本設(shè)置]中填入以下信息

規(guī)則名稱：weblogic漏洞攻擊嘗試

日志類型：入侵防護(hù)日志

窗口設(shè)置：空白（默認(rèn)）

規(guī)則描述：該事件是攻擊者對weblogic服務(wù)器漏洞做攻擊嘗試。如果攻擊發(fā)起者為我方資產(chǎn)，則說明該資產(chǎn)已失陷。否則，如被攻擊系統(tǒng)為我方資產(chǎn)，并且部署有weblogic服務(wù)，請確認(rèn)是該資產(chǎn)是否存在事件詳情中的漏洞。

圖2.2?創(chuàng)建規(guī)則-基本設(shè)置

2.3 點(diǎn)擊下一步，在[創(chuàng)建規(guī)則->創(chuàng)建規(guī)則]中填入以下信息

選中[過濾條件(where)]

[告警事件規(guī)則]屬性in(2417424022236142307421757217582145629116303122368563299232676262760689663446163666197661896619560862)

圖2.3?創(chuàng)建規(guī)則-規(guī)則設(shè)置

2.4 點(diǎn)擊下一步，在[創(chuàng)建規(guī)則->事件設(shè)置]中填入以下信息

事件類型：攻擊入侵（只利用該設(shè)備告警不能確認(rèn)攻擊是否成功，只能判斷是針對系統(tǒng)中可能存在的weblogic服務(wù)漏洞的攻擊嘗試）

風(fēng)險(xiǎn)等級：3

圖2.4?創(chuàng)建規(guī)則-事件設(shè)置

2.5?點(diǎn)擊創(chuàng)建，完成規(guī)則創(chuàng)建

圖2.5?規(guī)則創(chuàng)建完成后效果

3.?TAM新版本（綠盟全流量分析平臺）

添加“weblogic漏洞攻擊嘗試”事件規(guī)則

3.1 進(jìn)入全流量事件規(guī)則配置文件文件目錄(/home/bsauser/BSA/apps/bsa_tam2/conf)，備份mergeconf.xml文件，然后利用vi打開mergeconf.xml文件

圖3.1打開全流量事件規(guī)則配置文件

3.2 用utf-8編碼格式的編輯器打開“全流量平臺規(guī)則_weblogic漏洞攻擊嘗試事件.xml”，復(fù)制其中的內(nèi)容插入到rules節(jié)點(diǎn)中，并保持退出，新規(guī)則自動生效。

圖3.2插入新規(guī)則到rules節(jié)點(diǎn)

互聯(lián)網(wǎng)資產(chǎn)影響排查

綠盟科技威脅情報(bào)中心提供對互聯(lián)網(wǎng)開放網(wǎng)絡(luò)資產(chǎn)信息查看的功能，企業(yè)用戶可通過在NTI上檢索自有資產(chǎn)信息端口開放情況，查看企業(yè)資產(chǎn)是否受此漏洞影響。

綠盟科技威脅情報(bào)中心為企業(yè)客戶提供互聯(lián)網(wǎng)資產(chǎn)核查服務(wù)，使得企業(yè)客戶能夠及時(shí)掌握自身資產(chǎn)的安全態(tài)勢以及資產(chǎn)變動情況，服務(wù)詳情可咨詢：[email protected]，或者咨詢對應(yīng)的客戶經(jīng)理。

技術(shù)分析

漏洞簡析

該服務(wù)會解包Object結(jié)構(gòu)，通過一步步的readObject去第二步服務(wù)器上的1099端口請求惡意封裝的代碼。

然后在本地彈出計(jì)算器。

Weblogic已經(jīng)將互聯(lián)網(wǎng)暴露的PoC都已經(jīng)加入了黑名單，如果要繞過他的黑名單的限制就只能自己動手構(gòu)造。來看看InboundMsgAbbrev中resolveProxyClass的實(shí)現(xiàn)，resolveProxyClass是處理rmi接口類型的，只判斷了java.rmi.registry.Registry，其實(shí)隨便找一個(gè)rmi接口即可繞過。

聲?明

本安全公告僅用來描述可能存在的安全問題，綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失，均由使用者本人負(fù)責(zé)，綠盟科技以及安全公告作者不為此承擔(dān)任何責(zé)任。綠盟科技擁有對此安全公告的修改和解釋權(quán)。如欲轉(zhuǎn)載或傳播此安全公告，必須保證此安全公告的完整性，包括版權(quán)聲明等全部內(nèi)容。未經(jīng)綠盟科技允許，不得任意修改或者增減此安全公告內(nèi)容，不得以任何方式將其用于商業(yè)目的。