漏洞预警| Weblogic wls-wsat远程命令执行(哨兵云支持检测)
作者:星期一, 六月 17, 20190

WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件。它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理过程。近日,有安全研究员发现Weblogic wls-wsat组件中存在高危的远程命令执行漏洞。

默安科技的哨兵云资产风险监控系统目前已支持该漏洞的检测。

如果您的企业存在相关风险,可以联系我们辅助检测是否受到此类漏洞影响,以免被攻击者恶意利用,造成品牌和经济损失。

漏洞描述

WebLogic中默认包含的wls-wast包,由于该WAR包在处理XML输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命令。也就是说,攻击者能够直接获取服务器系统权限,进行数据窃取,进而甚至会威胁受害者的内网安全。

受影响的版本

Weblogic 10.3.*Weblogic 12.1.3

漏洞检测

对于该漏洞,目前默安科技的哨兵云资产风险监控系统已支持通过安装相关应急插件进行检测(目前仅哨兵云saas支持),如下图所示。

漏洞修复

以下是临时处置方法:1.配置URL访问控制策略

部署于公网的 WebLogic 服务器,可通过 ACL 禁止对/_async/*及/wls-wsat/*路径的访问。

2. 删除不安全文件

删除 wls9_async_response.war 与 wls-wsat.war 文件及相关文件夹,并重启 Weblogic 服务。具体文件路径如下:

10.3.*版本:

\Middleware\wlserver_10.3\server\lib\%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

12.1.3 版本:

\Middleware\Oracle_Home\oracle_common\modules\%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

 

注意:

wls9_async_response.war及wls-wsat.war 属于一级应用包,对其进行移除或更名操作可能造成未知的后果,Oracle 官方不建议对其进行此类操作。

若在直接删除此包的情况下应用出现问题,将无法得到Oracle 产品部门的技术支持。

请用户自行进行影响评估,并对此文件进行备份后,再执行此操作。

建议使用WebLogic Server 构建网站的信息系统运营者进行自查,发现存在漏洞后,按照临时解决方案及时进行修复。

请密切关注Oracle 官方7 月补丁通告。

 


相关文章

写一条评论

 

 

0条评论