WebLogic反序列化漏洞补丁绕过预警

1.安全公告 2019年4月26，Oracle官方发布了一个WebLogic10.3.6.0, 12

1.安全公告

2019年4月26，Oracle官方发布了一个WebLogic10.3.6.0, 12.1.3.0版本存在反序列化远程代码执行漏洞的公告，CVE编号：CVE-2019-2725，相关信息链接接：

https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

国家信息安全漏洞共享平台（CNVD）漏洞编号：CNVD-C-2019-48814，相关信息链接：

https://www.cnvd.org.cn/webinfo/show/4989。

漏洞“CVE-2019-2725”是由于XMLDecoder反序列化操作导致的代码执行问题，Oracle官方在2019年4月发布了补丁修复此问题,新补丁增加了对class元素的过滤，近日，安恒信息应急响应中心监测到该补丁被绕过的利用代码出现，该绕过方法利用了“forName”方法绕过了class元素的限制，目前，官方暂未发布安全更新补丁，请及时关注官方安全公告和相关信息：

https://www.oracle.com/technetwork/topics/security/alerts-086861.html

目前，安恒信息应急响应中心监测到上述相关漏洞已经被用于某重大活动中进行安全测试，相关攻击方式已经在互联网上进行传播，建议及时安装更新补丁。

2.影响版本

WebLogic反序列化漏洞CVE-2019-2725补丁绕过影响版本：Oracle WebLogic Server 10.3.6.0版本Oracle WebLogic Server 12.1.3.0版本

3.影响范围

通过安恒研究院SUMAP平台针对全球Oracle WebLogicServer服务的资产情况统计，最新查询分布情况如下：

通过安恒研究院SUMAP平台针对国内Oracle WebLogic Server服务的资产情况统计，最新查询分布情况如下：

4.缓解措施

紧急：目前针对该漏洞的利用代码已经出现，建议尽快进行安全更新或做好安全加固配置。

WebLogic补丁绕过漏洞官方暂未发布补丁，请及时加固配置，临时参考解决方法：

查找并删除wls9_async_response.war、wls-wsat.war，然后重启Weblogic服务；

限制访问/_async/*、/wls-wsat/*路径,如果部署有相应的安全设备，请监控对该路径的请求记录；

安恒的漏扫和Web漏洞扫描器已支持该漏洞识别，APT、DPI、WAF、NTA、玄武盾等产品已支持攻击包检测和发现。

有使用安恒信息WAF的相关客户，最新规则2019050801版本18010059规则可以正常防护，请大家检查WAF规则版本，尽快更新规则。

威胁推演：此漏洞为远程代码执行漏洞，基于全球使用该产品用户的数量和暴露在网上的端口情况，恶意攻击者可能会开发针对该漏洞的自动化攻击程序，实现漏洞利用成功后自动植入后门程序，并进一步释放矿工程序或是DDOS僵尸木马等恶意程序，从而影响到网站服务的正常提供。

安全运营建议：Oracle WebLogic历史上已经报过多个安全漏洞（其中也有反序列化漏洞），建议使用该产品的企业经常关注官方安全更新公告。

本文转载自 安恒应急响应中心