據有關部門通知，WebLogic中間件存在任意命令執行漏洞，鑒于漏洞影響范圍較大,潛在危害程度較高,請各單位及時關注,核查相關軟件產品使用情況，在確保安全的前提下及時修補漏洞,消除安全隱患,提高安全防范能力。

一、漏洞信息：

漏洞名稱：WebLogic中間件任意命令執行漏洞

影響產品及版本：暫無詳細信息

漏洞描述：攻擊者可以對T3/IIOP接口發送惡意內容，導致任意命令執行

漏洞類型：任意命令執行

二、漏洞分析：

廠商未公開漏洞信息，未發布補丁，PoC未公開，已確認該Oday漏洞有在野利用。

雷池產品︰

是否對產品安全性產生影響︰否;

是否支持檢測︰非WEB應用協議，不支持檢測。

諦聽產品:

是否對產品安全性產生影響︰否;

是否具備該類型蜜罐:具備weblogic蜜罐

洞鑒產品︰

是否對產品安全性產生影響︰否﹔

是否支持檢測:支持,通過自定義POC可檢測。

牧云產品:

是否對產品安全性產生影響︰產線驗證中。

是否具備該類型檢測∶產線驗證中。

全悉產品:

是否對產品安全性產生影響:否;

是否具備支持檢測:無需升級，即可檢測。

萬象產品:

是否對產品安全性產生影響:否;

額外說明∶搭配全悉等產品進行使用。

三、處置建議：

1.暴露在公網的WebLogic應配置對外禁用T3和IIOP，在不影響業務的情況下，T3和IIOP協議應只對內部可信主機段開放;

2.配置禁用辦法：

方法一：配置WebLogic對外部禁用T3協議的具體步驟：

Ⅰ．登入WebLogic控制臺，在對應域設置中選擇“安全”-“篩選器”選項卡；

Ⅱ．在“連接篩選器”輸入框中輸入: weblogic.security.net.ConnectionFilterlmpl，在“連接篩選器規則”輸入框中輸入如下，即配置為僅允許本機使用T3/T3S協議通信，禁用除可信主機以外其他主機使用T3/T3S協議通信。

方法二：配置WebLogic禁用IIOP協議的具體步驟：

登入WebLogic控制臺，在對應域設置中選擇“環境”-“服務器”，并選中要設置的服務器。然后在對應服務器設置中選擇“協議”-“IIOP”選項卡，并取消“啟用IIOP”前面的勾選，保存配置。

3.使用流量檢測防護設備，檢測T3/IIOP協議數據包中是否出現ForeignOpaqueReference關鍵詞。

2022年7月29日