Weblogic反序列化漏洞(CVE-2018-2628)，T3协议白名单

 2018年4月18日凌晨，Oracle官方发布了4月份的关键补丁更新，其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628)，通过该漏洞，攻击者可以在未授权的情况下远程执行代码。攻击者只需要发送精心构造的T3协议数据，就可以获取目标服务器的权限。  

受影响版本范围：

Oracle WebLogic Server 10.3.6.0

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 12.2.1.2

Oracle WebLogic Server 12.2.1.3

针对此问题，去网上查找了一些资料。做了一些总结和测试，一共有四种解决此漏洞的方法：

1、禁止使用Weblogic的T3协议。（客户需要使用此协议，不可取）；

2、升级Oracle官方4月份补丁。（经过测试，打过补丁后，此漏洞依然存在）；

3、使用绿盟NIPS，规则库能够阻挡外部攻击。

4、设置T3协议白名单。（对需要使用T3协议的情况下很好使，下面会给出步骤）

测试环境：weblogic10.3.6服务器（windows 2008R2）192.168.125.118

                  攻击机win10    192.168.125.117

使用脚本本地检测，存在web logic2628漏洞(脚本链接：https://github.com/aedoo/CVE-2018-2628-MultiThreading)

同一内网下的win10 检测，同样存在此漏洞

设置T3协议白名单

（1）进入Weblogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则中

输入：ip * * allow t3 （ip为允许的ip）

0.0.0.0/0 * *deny t3 t3s

测试时白名单IP设置的是本地IP

设置完成后，激活更改并重启服务。

此时IP白名单外的机器已经无法检测到此漏洞。

总结：weblogic2628漏洞源于T3协议，如果服务不需要使用T3协议，尽量通过禁用此协议来防止此漏洞。如果需要使用T3协议，目前的解决方法是设置T3协议白名单。