0x01 漏洞描述

2019年4月26日,Oracle官方发布了WebLogic wls9-async及wls-wsat组件远程命令执行漏洞的补丁(CVE-2019-2725),https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html。

启明星辰ADLab第一时间对该补丁进行了深入研究,发现该补丁存在安全缺陷,在低版本JDK的环境中可以被绕过导致任意远程命令执行。ADLab已向Oracle官方反馈了CVE-2019-2725补丁绕过的漏洞,并得到了官方的确认。由于该漏洞能使攻击者远程执行任意命令,目前官方补丁尚未发布且已有用户受到疑似该漏洞的攻击,建议所有使用Oracle WebLogic的用户尽快主动部署相应防护。

0x02 漏洞时间轴

  • 2019年6月12日,ADLab将漏洞详情提交给Oracle官方;

  • 2019年6月14日,Oracle官方确认漏洞存在并开始修复。

0x03 影响版本

  • Oracle WebLogic Server 10.3.6.0

0x04 漏洞利用

测试环境:WebLogic Server 10.3.6.0 + CVE-2019-2725补丁

利用过程

0x05 临时解决方案

官方补丁前的临时防护:

  • 删除wls9_async_response.war、wls_wsat.war及相关文件夹,并重启weblogic服务。

  • 禁止_async/*及wls-wsat/*形式的URL路径访问。

  • 使用1.7及以上的java版本运行WebLogic(针对目前流传的低版本JDK利用)。

声明:本文来自ADLab,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。