点击箭头处“蓝色字”,关注我们哦!转载请注明“转自奇安信代码卫士”。
尊敬的客户:
Oracle官方于今日发布紧急安全更新,修复了前几日在互联网传播的Oracle远程代码执行 0DAY 漏洞(即 CVE-2019-2725 补丁绕过漏洞),并为此漏洞分配编号 CVE-2019-2729。此漏洞由奇安信代码卫士团队在五月初发现并第一时间提交至Oracle官方。
奇安信安全监测与响应中心将持续关注该漏洞进展,并第一时间为您更新该漏洞信息。
文档信息
文档名称 |
Oracle WebLogic远程代码执行 0DAY漏洞安全预警通告第二次更新 |
关键字 |
CVE-2019-2725、补丁绕过、CVE-2019-2729 |
发布日期 |
2019年06月19日 |
分析团队 |
奇安信安全监测与响应中心 |
漏洞描述
2019 年 4 月,Oracle 官方发布更新补丁,修复了存在于 Oracle WebLogic 中编号为 CVE-2019-2725的远程代码执行漏洞。但是,更新补丁存在问题导致其可被攻击者绕过,造成新的远程代码执行 0DAY 漏洞。
经过分析发现,该漏洞不受JDK版本影响。
Oracle 官方已于今日针对此 0DAY 漏洞发布紧急更新补丁,并为此漏洞分配漏洞编号 CVE-2019-2729。
风险等级
奇安信安全监测与响应中心风险评级为:高危
预警等级:蓝色预警(一般事件)
影响范围
Oracle WebLogic 10.3.6
Oracle WebLogic 12.1.3
Oracle WebLogic 12.2.1.3
处置建议
官方已发布相关更新补丁,请安装更新对漏洞进行修复。
奇安信威胁情报中心提供如下额外处置建议,可在无法安装补丁时采用:
l 配置URL访问控制策略
部署于公网的WebLogic服务器,可通过ACL禁止对/_async/*及/wls-wsat/*路径的访问。
l 删除不安全文件
删除wls9_async_response.war与wls-wsat.war文件及相关文件夹,并重启Weblogic服务。具体文件路径如下:
10.3.*版本:
|
Middlewarewlserver_10.3serverlib %DOMAIN_HOME%serversAdminServer mp_WL_internal %DOMAIN_HOME%serversAdminServer mp.internal |
12.1.3版本:
|
MiddlewareOracle_Homeoracle_commonmodules %DOMAIN_HOME%serversAdminServer mp.internal |
注:wls9_async_response.war及wls-wsat.war属于一级应用包,对其进行移除或更名操作可能造成未知的后果,Oracle官方不建议对其进行此类操作。若在直接删除此包的情况下应用出现问题,将无法得到Oracle产品部门的技术支持。请用户自行进行影响评估,并对此文件进行备份后,再执行此操作。
l 禁用bea_wls9_async_response组件
用户可通过在weblogic启动参数中禁用bea_wls9_async_response的方式,对此漏洞形成临时防护。
在禁用不安全组件前,需请开发人员确认应用系统是否使用了weblogic提供的异步WebService功能。如果确认没有使用,可以使用如下方式禁用此功能:
1. 以windows系统为例,在启动文件(%DOMAIN_HOME%instartWeblogic.cmd)中加如下参数:
set JAVA_OPTIONS=%JAVA_OPTIONS%-Dweblogic.wsee.skip.async.response=true
set JAVA_OPTIONS=%JAVA_OPTIONS%-Dweblogic.wsee.wstx.wsat.deployed=false
2. 对应用程序进行严格测试。
3. 测试结果没有问题后,重启Weblogic服务,使参数生效。
产品线解决方案
l 奇安信网神天堤防火墙产品防护方案:
奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至最新的特征库” 1904192300” 及以上版本并启用规则ID: 5106进行检测。
l 360网神虚拟化安全管理平台已更新入侵防御规则库:
360 网神虚拟化安全管理平台无代理版本可通过更新入侵防御规则库到10148版本,支持对Oracle WebLogic Weblogic最新wls-wsat组件远程命令执行漏洞的防护,规则id:63019094,63019095,请用户联系技术支持人员获取规则升级包对虚拟化产品无代理版本进行升级。
360 网神虚拟化安全管理平台轻代理版本linux平台可通过更新入侵防御规则库到2019.06.14版本,支持对Oracle WebLogic Weblogic最新wls-wsat组件远程命令执行漏洞的防护,规则id:312338,312339,请用户联系技术支持人员获取规则升级包对虚拟化产品轻代理版本linux平台进行升级。
360 网神虚拟化安全管理平台轻代理版本windows平台可通过更新入侵防御规则库到2019.06.14版本,支持对Oracle WebLogic Weblogic最新wls-wsat组件远程命令执行漏洞的防护,规则id:190024,190025请用户联系技术支持人员获取规则升级包对虚拟化产品轻代理版本windows平台进行升级。
l 奇安信网神网络数据传感器系统支持最新规则库检测:
奇安信网神网络数据传感器(ND3000/5000/9000系列)产品系列,已通过更新IPS特征库完成了对该漏洞的检测。建议用户尽快将IPS特征库升级至最新的特征库” 1904192300” 及以上版本并启用规则ID: 5106进行检测。
l 奇安信天眼Oracle WebLogic远程命令执行0day漏洞(绕过CVE-2019-2725补丁)检测方案:
天眼新一代威胁感知系统已经可以检测Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞(绕过CVE-2019-2725补丁限制),规则名称为:Oracle WebLogic远程命令执行(绕过CVE-2019-2725补丁限制),规则编号为:0x100206B6。建议用户升级至最新版本3.0.0615.11135或以上版本。
时间线
[1]. 2019年5月初,奇安信代码卫士提交该漏洞至Oracle官方
[2]. 2019年6月15日,奇安信安全监测与响应中心发布内部安全预警通告
[3]. 2019年6月19日,奇安信安全监测与响应中心发布安全预警通告第二次更新,并对外发布
