<var id="skdjw"></var>

  • <meter id="skdjw"></meter><output id="skdjw"></output><label id="skdjw"></label>
    <code id="skdjw"></code>

    <label id="skdjw"><legend id="skdjw"></legend></label>

      <var id="skdjw"></var>
      WebLogic JAVA反序列化漏洞分析報告
      時間:2018-07-26來源:點擊:7965分享:
      WebLogic是美國Oracle公司出品的一個application server,確切的說是一個基于JAVA EE架構的中間件,WebLogic是用于開發、集成、部署和管理大型分布式Web應用、網絡應用和數據庫應用的Java應用服務器。將Java的動態功能和Java Enterprise標準的安全性引入大型網絡應用的開發、集成、部署和管理之中。
      一、 事件背景

      WebLogic是美國Oracle公司出品的一個application server,確切的說是一個基于JAVA EE架構的中間件,WebLogic是用于開發、集成、部署和管理大型分布式Web應用、網絡應用和數據庫應用的Java應用服務器。將Java的動態功能和Java Enterprise標準的安全性引入大型網絡應用的開發、集成、部署和管理之中。


      自2015年起,WebLogic被曝出多個反序列化漏洞,Oracle官方相繼發布了一系列反序列化漏洞補丁。但是近期,WebLogic又被曝出之前的反序列化漏洞補丁存在繞過安全風險,用戶更新補丁后,仍然存在被繞過并成功執行遠程命令攻擊的情況。


      Oracle WebLogic Server 10.3.6.0, 12.1.3.0, 12.2.1.0和12.2.1.1多個版本存在反序列化遠程命令執行漏洞,攻擊者可以通過構造惡意請求報文遠程執行命令,獲取系統權限,存在嚴重的安全風險。


      天融信安全云服務運營中心長期以來密切關注互聯網安全態勢,對于安全威脅程度高,影響廣泛的安全漏洞將進行持續追蹤。



      二、漏洞分析及危害

      1、漏洞描述

      序列化指的是把對象轉換成字節流,便于保存在內存、文件、數據庫中;而反序列化則是其逆過程,由字節流還原成對象。Java中ObjectOutputStream類的writeObject()方法可以實現序列化,ObjectInputStream類的readObject()方法用于反序列化。


      由于WebLogic采用黑名單的方式過濾危險的反序列化類,所以只要找到不在黑名單范圍內的反序列化類就可以繞過過濾,執行系統命令。這次的漏洞就是利用了這一點,通過 JRMP(Java Remote Messaging Protocol ,是特定于 Java 技術的、用于查找和引用遠程對象的協議)協議達到執行任意反序列化內容。


      2、 漏洞危害

      攻擊者可以利用WebLogic的反序列化漏洞,通過構造惡意請求報文遠程執行命令,危害較大。


      WebLogic在國內的的應用范圍比較廣,支撐著很多企業的核心業務。在很多公司的內網部署有WebLogic,攻擊者一旦利用此漏洞,便可以近一步進行內網滲透,取得服務器的系統權限。



      三、數據分析

      天融信安全云服務運營中心在關注到相關事件信息后,抽樣對全球范圍內使用 WebLogic的主機進行了數據統計及分析,主機的數量約為45000臺。其中排名前五的國家或分別為:美國、中國、韓國、加拿大、瑞典。


      1、世界分布

      下圖為世界范圍內使用 ,WebLogic的主機分布情況:                

      1.png

      圖1:世界分布情況

      下圖為全球范圍內,使用 WebLogic的主機排名前十的國家:

      2.png

      圖2:世界統計排名前十的地區

      2、國內分布

      天融信安全云服務運營中心對我國境內使用 WebLogic的主機進行了抽樣數據統計及分析,主機的數量約為12000臺。其中排名前五的省份地區分別為:北京市、廣東省、上海市、浙江省、江蘇省。


      下圖為我國境內,使用 WebLogic的主機分布情況:

      3.png

      圖3:國內分布情況

      下圖為我國境內,使用 WebLogic的主機排名前十的省份及地區:

      4.png

      圖4:國內統計排名前十


      四、防范建議

      Oracle官方已經發布了最新的漏洞補丁。請用戶及時到Oracle 官方網站下載補丁,逐一進行安裝升級。


      參考鏈接:

      http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

      http://www.cnvd.org.cn/flaw/show/CNVD-2017-00919

      http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3248

       

      注:在發布漏洞公告信息之前,天融信安全云服務運營中心都力爭保證每條公告的準確性和可靠性。然而,采納和實施公告中的建議則完全由用戶自己決定,其可能引起的問題和結果,天融信不承擔相應責任。是否采納我們的建議取決于您個人或您企業的決策,您應考慮其內容是否符合您個人或您企業的安全策略和流程。


      QUICK CONTACT
      快捷通道
      產品中心
      解決方案
      安全研究
      技術支持
      關于我們
      eeuss2012最新伦理电影