據(jù)有關(guān)部門通知，WebLogic中間件存在任意命令執(zhí)行漏洞，鑒于漏洞影響范圍較大,潛在危害程度較高,請各單位及時關(guān)注,核查相關(guān)軟件產(chǎn)品使用情況，在確保安全的前提下及時修補漏洞,消除安全隱患,提高安全防范能力。

一、漏洞信息：

漏洞名稱：WebLogic中間件任意命令執(zhí)行漏洞

影響產(chǎn)品及版本：暫無詳細信息

漏洞描述：攻擊者可以對T3/IIOP接口發(fā)送惡意內(nèi)容，導(dǎo)致任意命令執(zhí)行

漏洞類型：任意命令執(zhí)行

二、漏洞分析：

廠商未公開漏洞信息，未發(fā)布補丁，PoC未公開，已確認(rèn)該Oday漏洞有在野利用。

雷池產(chǎn)品︰

是否對產(chǎn)品安全性產(chǎn)生影響︰否;

是否支持檢測︰非WEB應(yīng)用協(xié)議，不支持檢測。

諦聽產(chǎn)品:

是否對產(chǎn)品安全性產(chǎn)生影響︰否;

是否具備該類型蜜罐:具備weblogic蜜罐

洞鑒產(chǎn)品︰

是否對產(chǎn)品安全性產(chǎn)生影響︰否﹔

是否支持檢測:支持,通過自定義POC可檢測。

牧云產(chǎn)品:

是否對產(chǎn)品安全性產(chǎn)生影響︰產(chǎn)線驗證中。

是否具備該類型檢測∶產(chǎn)線驗證中。

全悉產(chǎn)品:

是否對產(chǎn)品安全性產(chǎn)生影響:否;

是否具備支持檢測:無需升級，即可檢測。

萬象產(chǎn)品:

是否對產(chǎn)品安全性產(chǎn)生影響:否;

額外說明∶搭配全悉等產(chǎn)品進行使用。

三、處置建議：

1.暴露在公網(wǎng)的WebLogic應(yīng)配置對外禁用T3和IIOP，在不影響業(yè)務(wù)的情況下，T3和IIOP協(xié)議應(yīng)只對內(nèi)部可信主機段開放;

2.配置禁用辦法：

方法一：配置WebLogic對外部禁用T3協(xié)議的具體步驟：

Ⅰ．登入WebLogic控制臺，在對應(yīng)域設(shè)置中選擇“安全”-“篩選器”選項卡；

Ⅱ．在“連接篩選器”輸入框中輸入: weblogic.security.net.ConnectionFilterlmpl，在“連接篩選器規(guī)則”輸入框中輸入如下，即配置為僅允許本機使用T3/T3S協(xié)議通信，禁用除可信主機以外其他主機使用T3/T3S協(xié)議通信。

方法二：配置WebLogic禁用IIOP協(xié)議的具體步驟：

登入WebLogic控制臺，在對應(yīng)域設(shè)置中選擇“環(huán)境”-“服務(wù)器”，并選中要設(shè)置的服務(wù)器。然后在對應(yīng)服務(wù)器設(shè)置中選擇“協(xié)議”-“IIOP”選項卡，并取消“啟用IIOP”前面的勾選，保存配置。

3.使用流量檢測防護設(shè)備，檢測T3/IIOP協(xié)議數(shù)據(jù)包中是否出現(xiàn)ForeignOpaqueReference關(guān)鍵詞。

2022年7月29日