weblogic远程代码执行漏洞cve-2020-14825
  • cnnvd编号:cve-2020-14825
  • 危害等级: 高危 
  • cve编号:未知
  • 漏洞类型: 远程代码执行
  • 威胁类型:远程
  • 厂       商:未知
  • 漏洞来源:未知
  • 发布时间:2020-10-22
  • 更新时间:2020-12-11

漏洞简介

weblogic是美国oracle公司出品的一个application server,确切的说是一个基于javaee架构的中间件,weblogic是用于开发、集成、部署和管理大型分布式web应用、网络应用和数据库应用的java应用。

将java的动态功能和java enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。weblogic是商业市场上主要的java(j2ee)应用软件(application server)之一,是世界上第一个成功商业化的j2ee应用,具有可扩展性,快速开发,灵活,可靠性等优势。

此漏洞在oracle官方在2020年10月份发布的最新安全补丁中披露。该漏洞允许未经身份验证的攻击者通过iiop,t3进行网络访问,未经身份验证的攻击者成功利用此漏洞可能接管oracle weblogic server。cvss评分9.8。

漏洞公示

此漏洞与oracle 7月份公布的cve-2020-14645漏洞原理相似,cve-2020-14825漏洞利用oracle.eclipselink.coherence.integrated.internal.cache.lockversionextractor作为gadget入口。lockversionextractor类继承valueextractor接口,并实现了extract方法,因此在gadget调用extract方法的流程与cve-2020-14645漏洞相同。



重点关注oracle.eclipselink.coherence.integrated.internal.cache.lockversionextractor#extract方法内部的具体实现代码。漏洞点的触发是因为extract方法中调用了attributeaccessor.getattributevaluefromobject(arg0)方法。在weblogic补丁中的黑名单还包括org.eclipse.persistence.internal.descriptors.methodattributeaccessor。在此类中实现了attributeaccessor抽象类中的getattributevaluefromobject方法。


漏洞的触发点位于this.getmethod.invoke(anobject, parameters);

其中anobject是在extract方法中传入的可控参数arg0。由于在lockversionextractor的extract方法中调用的是getattributevaluefromobject(arg0),因此invoke方法中的parameters为null,只能调用无参方法,这也和cve-2020-14645的漏洞利用流程相同。


回到invoke方法,如果this.getmethod可控,就可以调用任意类的任意无参方法。


在methodattributeaccessor类中找到两个与getmethod相关的方法,这里重点关注下面的设置getmethodname属性的公有方法。


回到lockversionextractor#extract方法中,在调用getattributevaluefromobject之前,会先调用this.accessor.initializeattributes(arg0.getclass())方法。


在此方法中,通过反射获取getmethodname属性值对应的方法,并调用setgetmethod方法为getmethod属性赋值。由于getmethodname可控,因此getmethod属性也可以控制。攻击者可以通过控制getmethod和anobject完成jndi注入攻击。

2.4 漏洞复现

搭建漏洞环境,构造恶意的反序列化数据,通过t3发送到目标,当目标解析反序列化数据,会触发恶意代码执行,效果如图:



参考网站

暂无

受影响实体

oracle weblogic server 12.2.1.3.0

oracle weblogic server 12.2.1.4.0

oracle weblogic server 14.1.1.0.0

补丁

4.1 修复建议

官方已经针对此漏洞发布补丁,请受影响的用户参考以下链接安装补丁更新:https://www.oracle.com/security-alerts/cpujul2020.html

4.2 临时修复建议

1.可通过关闭iiop协议对此漏洞进行临时防御。操作如下:

在weblogic控制台中,选择“服务”->”adminserver”->”协议”,取消“启用iiop”的勾选。并重启weblogic项目,使配置生效。


2.对t3服务进行控制

控制t3服务的方法:


在上图这个weblogic界面中选择安全-筛选器,在下方出现的界面中找到“连接筛选器”,在里面输入

security.net.connectionfilterimpl

然后在连接筛选器规则中输入

127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s

最后保存并重启即可生效。

4.2 深信服正规网赌十大娱乐棋牌的解决方案

【深信服下一代防火墙】可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。

【深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。

【深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险