前些天，我們公眾號(hào)發(fā)了兩個(gè)漏洞，很多沒重視，后來影響大，

memcached ddos ，很機(jī)房掉線了

cisco 被人清空了，

現(xiàn)在這個(gè)關(guān)于Oracle WebLogic，如果你有用到這個(gè)數(shù)據(jù)庫(kù)，關(guān)注一下，提前修復(fù)，別等出事，再補(bǔ)。

1.漏洞概述

當(dāng)?shù)貢r(shí)間4月17日，北京時(shí)間4月18日凌晨，Oracle官方發(fā)布了4月份的關(guān)鍵補(bǔ)丁更新CPU（Critical Patch Update）,其中包含一個(gè)高危的Weblogic反序列化漏洞(CVE-2018-2628)，通過該漏洞，攻擊者可以在未授權(quán)的情況下遠(yuǎn)程執(zhí)行代碼。

該漏洞由綠盟科技研究員首先發(fā)現(xiàn)，并及時(shí)上報(bào)給了Oracle官方，關(guān)于該漏洞的更多信息以及綠盟科技的技術(shù)防護(hù)方案將隨后發(fā)布，請(qǐng)關(guān)注綠盟科技官網(wǎng)。

相關(guān)鏈接：

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

SEE MORE →

2.漏洞影響范圍

受影響的版本

• Weblogic 10.3.6.0

• Weblogic 12.1.3.0

• Weblogic 12.2.1.2

• Weblogic 12.2.1.3

以上均為官方支持的版本

受影響的區(qū)域

根據(jù)NTI（綠盟威脅情報(bào)中心）統(tǒng)計(jì)結(jié)果，在全球范圍內(nèi)對(duì)互聯(lián)網(wǎng)開放Weblogic服務(wù)的資產(chǎn)數(shù)量多達(dá)19,229，其中歸屬中國(guó)地區(qū)的受影響資產(chǎn)數(shù)量為1,787。

由于此漏洞產(chǎn)生于Weblogic T3服務(wù)，當(dāng)開放Weblogic控制臺(tái)端口（默認(rèn)為7001端口）時(shí)，T3服務(wù)會(huì)默認(rèn)開啟，因此會(huì)造成較大影響，結(jié)合曾經(jīng)爆出的Weblogic WLS 組件漏洞（CVE-2017-10271），不排除會(huì)有攻擊者利用挖礦的可能，因此，建議受影響企業(yè)用戶盡快部署防護(hù)措施。

三、漏洞影響排查

參考文章：

https://0x9.me/kYGC4

四、漏洞防護(hù)

官方升級(jí)

Oracle官方已經(jīng)在今天的關(guān)鍵補(bǔ)丁更新（CPU）中修復(fù)了該漏洞，強(qiáng)烈建議受影響的用戶盡快升級(jí)更新進(jìn)行防護(hù)。

注：Oracle官方補(bǔ)丁需要用戶持有正版軟件的許可賬號(hào)，使用該賬號(hào)登陸https://support.oracle.com后，可以下載最新補(bǔ)丁。

http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

臨時(shí)防護(hù)方案

可通過控制T3協(xié)議的訪問來臨時(shí)阻斷針對(duì)該漏洞的攻擊。WebLogic Server 提供了名為 weblogic.security.net.ConnectionFilterImpl 的默認(rèn)連接篩選器，此連接篩選器接受所有傳入連接，可通過此連接篩選器配置規(guī)則，對(duì)t3及t3s協(xié)議進(jìn)行訪問控制，詳細(xì)操作步驟如下：

1. 進(jìn)入Weblogic控制臺(tái)，在base_domain的配置頁(yè)面中，進(jìn)入“安全”選項(xiàng)卡頁(yè)面，點(diǎn)擊“篩選器”，進(jìn)入連接篩選器配置。

2. 在連接篩選器中輸入：weblogic.security.net.ConnectionFilterImpl，在連接篩選器規(guī)則中輸入：* * 7001 deny t3 t3s

3. 保存后規(guī)則即可生效，無需重新啟動(dòng)。

連接篩選器規(guī)則格式如：target localAddress localPort action protocols，其中：

target 指定一個(gè)或多個(gè)要篩選的服務(wù)器。

localAddress 可定義服務(wù)器的主機(jī)地址。(如果指定為一個(gè)星號(hào) (*)，則返回的匹配結(jié)果將是所有本地 IP 地址。)

localPort 定義服務(wù)器正在監(jiān)聽的端口。(如果指定了星號(hào)，則匹配返回的結(jié)果將是服務(wù)器上所有可用的端口)。

action 指定要執(zhí)行的操作。(值必須為“allow”或“deny”。)

protocols 是要進(jìn)行匹配的協(xié)議名列表。(必須指定下列其中一個(gè)協(xié)議：http、https、t3、t3s、giop、giops、dcom 或 ftp。) 如果未定義協(xié)議，則所有協(xié)議都將與一個(gè)規(guī)則匹配。

本文轉(zhuǎn)自黑白之道，文章作者：綠盟，安全服務(wù)部

原文鏈接：http://mp.weixin.qq.com/s/9Kc7btt4De8IIravJkemGQ