2019年4月17日，國家信息安全漏洞共享平臺（CNVD）收錄了由中國民生銀行股份有限公司報送的Oracle WebLogic wls9-async反序列化遠(yuǎn)程命令執(zhí)行漏洞（CNVD-C-2019-48814）。攻擊者利用該漏洞，可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令。目前，官方補(bǔ)丁尚未發(fā)布，漏洞細(xì)節(jié)未公開。
 

一、漏洞情況分析

WebLogic Server是美國甲骨文（Oracle）公司開發(fā)的一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)中間件，它提供了一個現(xiàn)代輕型開發(fā)平臺，支持應(yīng)用從開發(fā)到生產(chǎn)的整個生命周期管理，并簡化了應(yīng)用的部署和管理。

部分版本W(wǎng)ebLogic中默認(rèn)包含的wls9_async_response包，為WebLogic Server提供異步通訊服務(wù)。由于該WAR包在反序列化處理輸入信息時存在缺陷，攻擊者可以發(fā)送精心構(gòu)造的惡意 HTTP 請求，獲得目標(biāo)服務(wù)器的權(quán)限，在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令。

CNVD對該漏洞的綜合評級為“高危”。
 

二、漏洞影響范圍

該漏洞的影響版本如下：

WebLogic 10.X

WebLogic 12.1.3

CNVD秘書處對WebLogic服務(wù)在全球范圍內(nèi)的分布情況進(jìn)行分析，結(jié)果顯示該服務(wù)的全球用戶規(guī)模約為6.9萬，其中位于我國境內(nèi)的用戶規(guī)模約為2.9萬。

CNVD秘書處組織技術(shù)力量進(jìn)行技術(shù)檢測，發(fā)現(xiàn)我國境內(nèi)WebLogic用戶中，共有461個網(wǎng)站受此漏洞影響，所占比例為1.6%，該比例遠(yuǎn)低于我平臺在2018年4月18日收錄的WebLogic Server反序列化漏洞（CNVD-2018-07811）的影響范圍。

CNVD國家漏洞庫將對發(fā)現(xiàn)存在漏洞網(wǎng)站的單位進(jìn)行通報，及時消除漏洞攻擊威脅。
 

三、漏洞處置建議

目前，Oracle官方暫未發(fā)布補(bǔ)丁，臨時解決方案如下：

1、 刪除該war包并重啟webLogic；

2、 通過訪問策略控制禁止 /_async/* 路徑的URL訪問。

建議使用WebLogic Server構(gòu)建網(wǎng)站的信息系統(tǒng)運(yùn)營者進(jìn)行自查，發(fā)現(xiàn)存在漏洞后，按照臨時解決方案及時進(jìn)行修復(fù)。

以上內(nèi)容由四川無國界(warmw001.com.cn) 整理編輯——專業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風(fēng)險管理咨詢服務(wù)。