1. <div id="zkwa0"></div>

    <dd id="zkwa0"><tr id="zkwa0"></tr></dd>
    <div id="zkwa0"><ol id="zkwa0"></ol></div>
    1. <div id="zkwa0"><tr id="zkwa0"><object id="zkwa0"></object></tr></div>
      <div id="zkwa0"><tr id="zkwa0"></tr></div>

    2. WebLogic JAVA反序列化漏洞分析报告
      时间:2018-07-26来源:点击:4519分享:
      WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVA EE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
      一、 事件背景

      WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVA EE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。


      自2015年起,WebLogic被曝出多个反序列化漏洞,Oracle官方相继发布了一系列反序列化漏洞补丁。但?#22681;?#26399;,WebLogic?#30452;?#26333;出之前的反序列化漏洞补丁存在绕过安全风险,用户更新补丁后,仍然存在被绕过并成功执?#24615;?#31243;命令攻击的情况。


      Oracle WebLogic Server 10.3.6.0, 12.1.3.0, 12.2.1.0和12.2.1.1多个版本存在反序列化远程命令执行漏洞,攻击者可以通过构造恶意请求报文远程执行命令,获取系统权限,存在严重的安全风险。


      天融信安全?#21697;?#21153;运营中心长期以来密切关注互联网安全态势,对于安全威胁程度高,影响广泛的安全漏洞将进行?#20013;?#36861;踪。



      二、漏洞分析及危害

      1、漏洞描述

      序列化指的是把对象转换成字节流,便于保存在内存、文件、数据库中;而反序列化则是其逆过程,由字节流还原成对象。Java中ObjectOutputStream类的writeObject()方法可以实现序列化,ObjectInputStream类的readObject()方法用于反序列化。


      由于WebLogic采用黑名单的方式过滤危险的反序列化类,所以只要?#19994;?#19981;在黑名单范围内的反序列化类就可以绕过过滤,执行系统命令。这次的漏洞就是利用了这一点,通过 JRMP(Java Remote Messaging Protocol ,是特定于 Java 技术的、用于查找和引用远程对象的协议)协议达到执行?#25105;?#21453;序列化内容。


      2、 漏洞危害

      攻击者可以利用WebLogic的反序列化漏洞,通过构造恶意请求报文远程执行命令,危害较大。


      WebLogic在国内的的应用范围比较广,支撑着很多企业的核心业务。在很多公司的内网部署有WebLogic,攻击者一旦利用此漏洞,便可以近一步进行内网渗透,取得服务器的系统权限。



      三、数据分析

      天融信安全?#21697;?#21153;运营中心在关注到相关事件信息后,抽样对全球范围内使用 WebLogic的主机进行了数据统计及分析,主机的数量约为45000台。其?#20449;?#21517;前五的国?#19968;?#20998;别为:美国、中国、韩国、加拿大、瑞典。


      1、世界分布

      下图为世界范围内使用 ,WebLogic的主机分布情况:                

      1.png

      图1:世界分布情况

      下图为全球范围内,使用 WebLogic的主机排名前十的国家:

      2.png

      图2:世界统计排名前十的地区

      2、国内分布

      天融信安全?#21697;?#21153;运营中心对我国境内使用 WebLogic的主机进行了抽样数据统计及分析,主机的数量约为12000台。其?#20449;?#21517;前五的省份地区分别为:?#26412;?#24066;、广东省、上海市、浙江省、江苏省。


      下图为我国境内,使用 WebLogic的主机分布情况:

      3.png

      图3:国内分布情况

      下图为我国境内,使用 WebLogic的主机排名前十的省份及地区:

      4.png

      图4:国内统计排名前十


      四、防范建议

      Oracle官方已经发布了最新的漏洞补丁。请用户及时到Oracle 官方网站下载补丁,逐一进行安装升级。


      参考链接:

      http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

      http://www.cnvd.org.cn/flaw/show/CNVD-2017-00919

      http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3248

       

      注:在发布漏洞公告信息之前,天融信安全?#21697;?#21153;运营中心都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果,天融信不承担相应责任。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。


      QUICK CONTACT
      快捷通道
      产?#20998;?#24515;
      解决方案
      安全研究
      技术支持
      关于我们
      河北省11选5

      1. <div id="zkwa0"></div>

        <dd id="zkwa0"><tr id="zkwa0"></tr></dd>
        <div id="zkwa0"><ol id="zkwa0"></ol></div>
        1. <div id="zkwa0"><tr id="zkwa0"><object id="zkwa0"></object></tr></div>
          <div id="zkwa0"><tr id="zkwa0"></tr></div>

          1. <div id="zkwa0"></div>

            <dd id="zkwa0"><tr id="zkwa0"></tr></dd>
            <div id="zkwa0"><ol id="zkwa0"></ol></div>
            1. <div id="zkwa0"><tr id="zkwa0"><object id="zkwa0"></object></tr></div>
              <div id="zkwa0"><tr id="zkwa0"></tr></div>