Inspur-202001-001 Weblogic远程代码执行漏洞(CVE-2020-2546、CVE-2020-2551)

浏览 : 发布 :2020-01-17

漏洞情况

此次发布的补丁,修复了Weblogic的两个高危漏洞(CVE-2020-2546CVE-2020-2551)。

1CVE-2020-2546漏洞介绍

该漏洞通过T3协议实现利用、攻击者可通过此漏洞实现远程代码执行,CVSS评分均为9.8。利用复杂度低。

2CVE-2020-2551漏洞介绍

攻击者可以通过IIOP协议远程访问Weblogic Server服务器上的远程接口,传入恶意数据,从而获取服务器权限并在未授权情况下远程执行任意代码。CVSS评分9.8

注:两个漏洞利用成功后均可控制weblogic服务器。weblogic高危漏洞,是黑产攻击利用最广泛的漏洞之一。攻击者常用weblogic漏洞入侵控制服务器,然后向内网横向扩散攻击,投放挖矿木马和勒索病毒。

 

二、漏洞等级

高危

三、漏洞影响范围

CVE-2020-2546

受影响版本

WebLogic Server 10.3.6.0.0

WebLogic Server 12.1.3.0.0

CVE-2020-2551

受影响版本

Weblogic Server 10.3.6.0.0

Weblogic Server 12.1.3.0.0,

Weblogic Server 12.2.1.3.0

Weblogic Server 12.2.1.4.0

 

四、漏洞处置建议

1、网络边界对外网IP进行全端口扫描并识别weblogic协议服务端口,通知用户协商进行高危端口禁封,避免外部暴露。

2、建议使用安装补丁的方式彻底解决漏洞,不推荐临时解决的方案。

3、为防止补丁安装后出现异常,建议修复前做好备份工作。

方式一:安装补丁

Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁

参考:https://www.oracle.com/security-alerts/cpujan2020.html

方式二:临时解决方案

若用户暂时不能安装最新补丁,可通过下列措施对漏洞进行临时防护:CVE-2020-2546用户可通过禁用T3协议,对此漏洞进行临时缓解,具体操作可参考下列链接“4.2.2 T3协议访问控制”部分:

https://mp.weixin.qq.com/s/YWTSyEVunQUordwxThrGwA

CVE-2020-2551可通过关闭IIOP协议对此漏洞进行缓解。操作如下:

Weblogic控制台中,选择“服务”->AdminServer->”协议”,取消“启用IIOP”的勾选。并重启Weblogic项目,使配置生效。