Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:18849 篇
已收录公众号数量:91 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
阿里云先知 网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
【安全风险通告】部分漏洞细节已公开,奇安信安全产品已支持防护,...
本文来自公众号:奇安信 CERT   2021.01.20 12:24:56


奇安信CERT

致力于 第一时间 为企业级用户提供安全风险 通告 有效 解决方案。




风险通告



Oracle官方发布了2020年1月的关键补丁程序更新CPU(Critical Patch Update),其中修复了多个存在于WebLogic中的漏洞包括CVE-2021-1994、CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075、CVE-2021-2066、CVE-2021-2067、CVE-2021-2068、CVE-2021-2069、CVE-2021-2109。经过技术研判,奇安信CERT认为CVE-2021-1994、CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075限制较少,危害程度较大。

目前,奇安信CERT已经成功复现CVE-2021-2109 Weblogic Server远程代码执行漏洞,漏洞利用需要登录。 鉴于这些漏洞危害较大,建议客户尽快安装更新补丁。




漏洞描述

Oracle 官方发布了2021年1月的关键补丁程序更新CPU(Critical Patch Update),其中修复了多个存在于WebLogic中的漏洞。
CVE编号

影响组件

协议

是否远程未授权利用

CVSS

受影响版本

CVE-2021-1994


Web Services


HTTP

9.8

10.3.6.0.0
12.1.3.0.0

CVE-2021-2047

WLS Core Components
IIOP
T3

9.8
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0

CVE-2021-2064


WLS Core Components
IIOP
T3

9.8
12.1.3.0.0

CVE-2021-2108


WLS Core Components
IIOP
T3

9.8
12.1.3.0.0

CVE-2021-2075


Samples


IIOP
T3
9.8
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0

CVE-2021-2066


Outside In Filters


HTTP
8.6
8.5.4
8.5.5

CVE-2021-2067


Outside In Filters


HTTP
8.6
8.5.4
8.5.5

CVE-2021-2068


Outside In Filters


HTTP
8.6
8.5.4
8.5.5

CVE-2021-2069


Outside In Filters


HTTP
8.6
8.5.4
8.5.5

CVE-2021-2109


Console

HTTP
7.2
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0


其中影响较大的漏洞如下:

1.CVE-2021-1994

攻击者可以在未授权的情况下通过HTTP访问,从而破坏Oracle WebLogic Server。成功利用该漏洞的攻击者可以接管WebLogic Server。

2.CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075

攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞的WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。


CVE-2021-2109 Oracle WebLogic 12.2.1.4.0复现证明:



风险等级

奇安信 CERT风险评级为: 高危
风险等级: 蓝色(一般事件)



影响范围

CVE编号

受影响版本

CVE-2021-1994


10.3.6.0.0

12.1.3.0.0

CVE-2021-2047

10.3.6.0.0

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

14.1.1.0.0

CVE-2021-2064


12.1.3.0.0

CVE-2021-2108


12.1.3.0.0

CVE-2021-2075


10.3.6.0.0

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

14.1.1.0.0

CVE-2021-2066


8.5.4

8.5.5

CVE-2021-2067


8.5.4

8.5.5

CVE-2021-2068


8.5.4

8.5.5

CVE-2021-2069


8.5.4

8.5.5

CVE-2021-2109


10.3.6.0.0

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

14.1.1.0.0



处置建议

请参考以下链接尽快修复:

https://www.oracle.com/security-alerts/cpujan2021.html


Oracle WebLogic Server升级方案

1. Oracle WebLogic Server 11g:

bsu.cmd -install -patch_download_dir=C:\Oracle\Middleware\utils\bsu\cache_dir -patchlist=3L3H -prod_dir=C:\Oracle\Middleware\wlserver_10.3


出现以上提示代表补丁安装成功。


2. Oracle WebLogic Server 12c:

使用opatch apply 安装补丁

C:\Oracle\Middleware\Oracle_Home\OPatch>opatch apply C:\Users\r00t4dm\Desktop\p30965714_122130_Generic\30965714


注:补丁编号按照请自行更改为新补丁编号。


若非必须开启,请禁用T3和IIOP协议

禁用T3 IIOP协议具体操作步骤如下:

1. 禁用T3:

进入WebLogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。


在连接筛选器中输入:WebLogic.security.net.ConnectionFilterImpl,参考以下写法,在连接筛选器规则中配置符合企业实际情况的规则:

127.0.0.1 * * allow t3 t3s

本机IP * * allow t3 t3s

允许访问的IP * * allow t3 t3s

* * * deny t3 t3s


连接筛选器规则格式如下:target localAddress localPort action protocols,其中:

target 指定一个或多个要筛选的服务器。

localAddress 可定义服务器的主机地址。(如果指定为一个星号 (*),则返回的匹配结果将是所有本地 IP 地址。)

localPort 定义服务器正在监听的端口。(如果指定了星号,则匹配返回的结果将是服务器上所有可用的端口)。

action 指定要执行的操作。(值必须为“allow”或“deny”。)

protocols 是要进行匹配的协议名列表。(必须指定下列其中一个协议:http、https、t3、t3s、giop、giops、dcom 或 ftp。) 如果未定义协议,则所有协议都将与一个规则匹配。

保存后若规则未生效,建议重新启动WebLogic服务(重启WebLogic服务会导致业务中断,建议相关人员评估风险后,再进行操作)。以Windows环境为例,重启服务的步骤如下:

进入域所在目录下的bin目录,在Windows系统中运行stopWebLogic.cmd文件终止WebLogic服务,Linux系统中则运行stopWebLogic.sh文件。


待终止脚本执行完成后,再运行startWebLogic.cmd或startWebLogic.sh文件启动WebLogic,即可完成WebLogic服务重启。


2. 禁用IIOP:

用户可通过关闭IIOP协议阻断针对利用IIOP协议漏洞的攻击,操作如下:

在WebLogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启WebLogic项目,使配置生效。



产品解决方案

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对Weblogic Server远程代码执行漏洞(CVE-2021-2109)的防护。


奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:6154,建议用户尽快升级检测规则库至2101201302以后版本并启用该检测规则。


奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0120.12606及以上版本。规则名称:Weblogic Server远程代码执行漏洞(CVE-2021-2109),规则ID:0x10020BBD。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。



参考资料

[1]https://www.oracle.com/security-alerts/cpujan2021.html



时间线

2020年1月20日, 奇安信 CERT发布安全风险通告


访问 nox.qianxin.com

到奇安信NOX-安全监测平台查询更多漏洞详情