漏洞概述 | |||
漏洞名称 | Oracle WebLogic Server 存在反序列化漏洞(CVE-2024-21216) | ||
安恒CERT评级 | 1级 | CVSS3.1评分 | 9.8 |
CVE编号 | CVE-2024-21216 | CNVD编号 | 未分配 |
CNNVD编号 | 未分配 | 安恒CERT编号 | DM-202410-003014 |
POC情况 | 已发现 | EXP情况 | 已发现 |
在野利用 | 未发现 | 研究情况 | 已复现 |
危害描述 | 未经身份验证的攻击者通过T3/IIOP进行网络访问来入侵WebLogic服务器,成功利用此漏洞后,攻击者可能执行任意代码从而完全控制服务器。 | ||
Oracle WebLogic Server 是一个企业级应用服务器,用于构建、部署和运行基于Java的企业应用程序。它支持J2EE(Java 2 Platform, Enterprise Edition)标准,并且提供了高性能的多层架构,用于开发、集成和管理复杂的业务应用程序。
该产品主要使用客户行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护。
安恒研究院卫兵实验室已复现此漏洞。
漏洞信息
漏洞描述
漏洞危害等级:严重
漏洞类型:反序列化
影响范围
影响版本:
12.2.1.4.0,14.1.1.0.0
CVSS向量
访问途径(AV):网络
攻击复杂度(AC):低
所需权限(PR):无需任何权限
用户交互(UI):不需要用户交互
影响范围 (S):不变
机密性影响 (C):高
完整性影响 (l):高
可用性影响 (A):高
修复方案
官方修复方案:
官方已发布修复方案,受影响的用户建议及时下载补丁包进行漏洞修复。
官方链接:https://support.oracle.com/
临时缓解方案:
在不影响业务的前提下可以通过暂时禁用 T3/IIOP 协议来减轻此漏洞的影响。
一、禁用T3协议
T3 是 WebLogic 的内部协议,用于服务器和客户端之间的通信。禁用步骤如下:
1.打开 WebLogic Server 管理控制台,使用管理员凭据登录。
2.在左侧导航栏中,点击 Environment -> Servers,然后选择您要配置的服务器实例。
3.进入协议设置,选择 Protocols 选项卡,然后点击 Channels 子选项卡。
4.找到使用 T3 协议的通道(通常命名为 T3 或 T3S),并禁用这些通道。
5.保存配置更改,并重新启动服务器以应用这些设置。
二、禁用 IIOP 协议
IIOP(Internet Inter-ORB Protocol)是用于 Java RMI(远程方法调用)的协议。禁用步骤如下:
1.与禁用 T3 协议相同,在 WebLogic 管理控制台中选择服务器实例。
2.在 Protocols 选项卡下,找到 IIOP 协议的设置。取消选中 Enable IIOP 选项。
3.保存更改并重新启动 WebLogic Server 以确保新配置生效。
三、验证禁用状态
确保禁用 T3 和 IIOP 协议后,您可以通过以下方法验证:
1.使用网络扫描工具扫描服务器的开放端口,确认 T3 和 IIOP 协议相关的端口已关闭。
2.检查 WebLogic 日志文件,确保没有 T3 或 IIOP 连接尝试的记录。
产品能力覆盖
产品名称 | 覆盖补丁包 |
AiLPHA大数据平台 | GoldenEyeIPv6_XXXXX_strategy2.0.XXXXX.241016.1及以上版本 |
APT攻击预警平台 | GoldenEyeIPv6_XXXXX_strategy2.0.XXXXX.241016.1及以上版本 |
参考资料
https://www.oracle.com/security-alerts/cpuoct2024.html
技术支持
如有漏洞相关需求支持请联系400-6059-110获取相关能力支撑。
