预警| WebLogic Server曝高风险远程命令执行0-day漏洞,阿里云WAF支持免费应急服务

本文涉及的产品
云安全中心 免费版,不限时长
简介: WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,被广泛应用于保险、证券、银行等金融领域。

近日,阿里云安全团队监测到,由国家信息安全漏洞共享平台(CNVD)收录的Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)被攻击者利用,在未授权的情况下可远程执行命令。该漏洞曾经因为使用HTTP协议,而非t3协议,被黑客利用进行大规模的挖矿行为。

目前该漏洞对WebLogic 10.X和WebLogic 12.1.3两个版本均有影响。Oracle尚未发布官方补丁,漏洞细节和真实PoC也未公开。

一、WebLogic Server漏洞是啥?

WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,被广泛应用于保险、证券、银行等金融领域。

二、WebLogic Server漏洞发展及防御过程

2019年4月17日,CNVD公布编号为CNVD-C-2019-48814的WebLogic漏洞,指出该漏洞受影响的war包为bea_wls9_async_response.war。wls9-async组件为WebLogic Server提供异步通讯服务,默认应用于WebLogic部分版本。由于该war包在反序列化处理输入信息时存在缺陷,攻击者通过发送精心构造的恶意 HTTP 请求,即可获得目标服务器的权限,在未授权的情况下远程执行命令。

阿里云Web应用防火墙(简称WAF)监测到该漏洞后立即进行分析,发现除bea_wls9_async_response.war之外,wls-wsat.war也受到该漏洞影响。4月21日,阿里云针对该漏洞更新了默认防御规则,开启拦截,实现用户域名接入即可防护。

4月23日CNVD追加通告称,该漏洞受影响的war包不仅仅包括bea_wls9_async_response.war ,还包括wls-wsat.war。该war包提供了WLS-WebServices的路由,而WLS-WebServices功能使用了XMLDecoder来解析XML数据。阿里云WAF无需更新任何规则,即可默认防护。

_
漏洞攻击演示

目前,阿里云监测到,云上已经出现针对该漏洞的大规模扫描行为,攻击流量图如下,阿里云WAF用户均未受影响。

_
利用该漏洞的攻击流量图

三、安全建议

由于Oracle官方暂未发布补丁,阿里云安全团队给出如下解决方案:

  • 请使用WebLogic Server构建网站的信息系统运营者进行自查,发现存在漏洞后,立即删除受影响的两个war包,并重启WebLogic服务;
  • 因为受影响的两个war包覆盖的路由较多,如下图所示,所以建议通过策略禁止 /_async/ 及 /wls-wsat/ 路径的URL访问;

1
wls-wsat.war的路由

2
bea_wls9_async_response.war的路由

  • 阿里云WAF可以对该漏洞进行默认防护,您可以选择接入阿里云WAF进行防护,避免该漏洞造成更大的损失。

若您监测到该漏洞,可以钉钉扫描下方二维码,加入阿里云WAF应急支持群,我们将为您提供24小时免费应急服务,为您进行漏洞处置争取时间。

_

相关文章
|
4天前
|
文字识别 API 开发工具
阿里云文字识别OCR服务确实支持将识别结果以键值对(key-value)的形式返回
阿里云文字识别OCR服务确实支持将识别结果以键值对(key-value)的形式返回
25 5
|
10天前
|
存储 安全 网络协议
阿里云网盘与相册问题之服务开通历史版本如何解决
阿里云网盘与相册是阿里云提供的云存储服务,用户可以安全便捷地存储和管理个人文件、照片等数据;本合集将介绍如何使用阿里云网盘和相册服务,包括文件上传、同步、分享,以及处理常见使用问题的技巧。
21 1
|
14天前
|
监控 安全 关系型数据库
在规划阿里云RDS跨区迁移资源和服务可用性
在规划阿里云RDS跨区迁移资源和服务可用性
23 4
|
1天前
|
弹性计算 数据安全/隐私保护
【雾锁王国/Enshrouded】阿里云服务器部署雾锁王国/Enshrouded联机服务教程
【雾锁王国/Enshrouded】阿里云服务器部署雾锁王国/Enshrouded联机服务教程。
15 1
|
1天前
|
机器学习/深度学习 API 计算机视觉
阿里云视觉智能平台的自学习服务
【2月更文挑战第2天】阿里云视觉智能平台的自学习服务
22 10
|
2天前
|
弹性计算 数据安全/隐私保护
【零成本】【懒人版】阿里云上雾锁王国/Enshrouded服务搭建教程
【零成本】【懒人版】雾锁王国/Enshrouded服务搭建教程。随着游戏行业的不断发展,玩家们对于游戏体验的要求也越来越高。为了满足玩家们的需求,腾讯云提供了游戏联机服务器一键部署方案,本文将为大家分享基于阿里云服务器10秒钟完成雾锁王国游戏服务器搭建教程,让大家的游戏体验更加顺畅。
|
2天前
|
运维 安全 关系型数据库
数据库自治与安全服务训练营火热开营!完成任务可得国潮保温杯和阿里云定制双肩包!
本训练营带您简单了解数据库自治与云安全服务,数据库自治服务提供云上RDS、PolarDB、NoSQL、ADB等数据库7*24小时异常检测、SQL自优化、安全合规审计、弹性伸缩、数据自治、锁分析等亮点功能。一站式自动化、数字化DAS集成平台,助力您畅享DBA运维智能化。
|
4天前
|
弹性计算 数据安全/隐私保护
【雾锁王国/Enshrouded攻略】2024年阿里云服务器一键搭建雾锁王国/Enshrouded联机服务教程
【雾锁王国/Enshrouded攻略】2024年阿里云服务器一键搭建雾锁王国/Enshrouded联机服务教程。《雾锁王国》Enshrouded是一款合作生存建造动作角色扮演游戏,抢先体验仅四天就吸引了超百万玩家,同时在线人数超16万人。由于游玩人数多,雾锁王国官方服务器游戏的卡顿问题变得非常严重。我们可以在本地自建个人专属游戏服务器,享受更加流畅舒适的游戏体验,还能够与朋友在独立私密的环境中一同游玩。本文将为大家分享阿里云一键部署雾锁王国联机服务器详细教程。
|
4天前
|
弹性计算 Ubuntu Linux
2024年幻兽帕鲁/Palworld联机服务快速部署教程:阿里云服务器1分钟部署幻兽帕鲁联机服务
2024年幻兽帕鲁/Palworld联机服务快速部署教程:阿里云服务器1分钟部署幻兽帕鲁联机服务。《幻兽帕鲁》非常火爆,如果你想要建立一个幻兽帕鲁的联机服务器,阿里云ECS云服务器是一个不错的选择。本文将为你详细介绍如何利用阿里云ECS云服务器搭建幻兽帕鲁的联机服务器。
|
8天前
|
人工智能 机器人 API
Python和阿里云AI服务搭建
使用Python和阿里云AI服务搭建一个简单的聊天机器人的教程 1. 注册阿里云账号并登录。 2. 开通阿里云AI服务,并创建一个智能对话机器人。 3. 获取API密钥和AccessToken。 4. 安装Python环境和SDK。
26 7

相关产品

  • Web应用防火墙
  • 内容安全
  • 实人认证