【安全預警】Weblogic遠程命令執行漏洞安全預警與建議

【 漏洞說明】

2019年 4 月 26 日，Oracle 官方發布了 4 月份的關鍵補丁，其中包含一個高危的WebLogic 反序列化漏洞(CVE-2019-2725)。近日，業內人士監測到繞過該補丁的最新利用代碼，經驗證情況屬實。由于應用在處理反序列化輸入信息時存在缺陷，攻擊者可以發送精心構造的惡意 HTTP 請求，獲得目標服務器的權限，在未授權的情況下遠程執行命令。截止目前，該漏洞屬于0day，官方尚未發布任何補丁。

【影響范圍】 

WebLogic 10.3.6.0

WebLogic 12.1.3

以上均為官方支持的版本

【 緩解措施】

由于該漏洞目前官方未發布正式補丁，建議采取如下臨時解決方案：

（1）配置 URL 訪問控制策略 

部署于公網的WebLogic服務器，可通過ACL禁止對/_async/*及/wls-wsat/*路徑的訪問。

（2） 刪除不安全文件

存在漏洞的組建wls9_async_response.war及wls-wsat.war屬于一級應用包，對其進行移除或更名操作可能造成未知的后果，Oracle 官方不建議對其進行此類操作。若在直接刪除此包的情況下應用出現問題，將無法得到Oracle產品部門的技術支持。請用戶自行進行影響評估，并對此文件進行備份后，再執行刪除操作：

刪除wls9_async_response.war與wls-wsat.war文件及相關文件夾，并重啟Weblogic服務。具體文件路徑如下：

10.3.*版本：

\Middleware\wlserver_10.3\server\lib\

%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

12.1.3 版本：

\Middleware\Oracle_Home\oracle_common\modules\

%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

（3）請密切關注Oracle官方近期發布的補丁通告。