安全研究 SECURITY SERVICE

Weblogic CVE-2020-2555反序列化远程代码执行漏洞

发布时间: 2020-03-11
来源:
浏览数: 89

  漏洞背景  




反序列化漏洞已经逐渐成为攻击者/研究人员在面对Java Web应用安全研究侧重点。这些漏洞通常能进行远程代码执行(RCE),并且修复起来比较困难。在本文中,我们将分析CVE-2020-2555漏洞影响,并提供相应的解决方案。该漏洞存在于Oracle Coherence库中,从而影响使用该库的Oracle WebLogic服务器等常见产品(涉及多个Weblogic版本)。



  漏洞描述  




2020年3月5日,Zero0day公布了关于Weblogic(CVE-2020-2555)详细分析文章,Oracle Coherence为Oracle融合中间件中的产品,在WebLogic 12c及以上版本中默认集成到WebLogic安装包中,攻击者通过t3协议发送构造的序列化数据,能过造成命令执行的效果。
Weblogic CVE-2020-2555反序列化远程代码执行漏洞


  影响版本  




影响版本(包含Coherence包):

Oracle Coherence 3.7.1.17

Oracle Coherence 12.1.3.0.0

Oracle Coherence 12.2.1.3.0

Oracle Coherence 12.2.1.4.0


  影响版本  





    在分析CVE-2020-2555的补丁引入了一处修改,涉及LimitFilter类的toString()方法:下图为打补丁前的相关代码


Weblogic CVE-2020-2555反序列化远程代码执行漏洞

补丁在toString()中会将this.m_oAnchorTop和this.m_oAnchorBottom

作为参数传入ValueExtractor.extract(),补丁移除了extractor.extract()操作,跟进extract()看下,发现extract()只是一个抽象方法,并没有实现,那说明extract()在ValueExtractor的子类中可以利用。因为是反序列化,所以我们只需要在ValueExtractor子类中找到实现了Serializable或者ExternalizableLite反序列化接口并且有extract()的方法。

最终在com.tangosol.util.extractor.ReflectionExtractor#extract()找到了反射任意方法调用。


Weblogic CVE-2020-2555反序列化远程代码执行漏洞


执 行 过 程


1、通过调用FileOutputStream.write()实现任意文件创建;2、通过调用Runtime.exec()实现任意命令执行;

3、通过调用Method.invoke()实现任意方法调用。对于该漏洞,我们主要关注的是Method.invoke(),该调用能通过反射来调用任意Java方法。了解该信息后,我们开始查找具备extract()方法的所有实例(根据前文分析,该方法正是补丁分析后我们得出的根源点),并且最终会调用Method.invoke()。在Coherence库中提供了这样一个类(ChainedExtractor),可以让我们串接extract()调用:只要反序列化执行了chainedExtractor.extract()就可以造成rce。


Weblogic CVE-2020-2555反序列化远程代码执行漏洞

测试如下:

Weblogic CVE-2020-2555反序列化远程代码执行漏洞


处 置 建 议



防护建议


部署捷普入侵防御系统(IPS)的用户,更新相应规则升级包,开启Weblogic防护规则,配置相关安全策略,即可达到防护效果。


Weblogic CVE-2020-2555反序列化远程代码执行漏洞

临 时 缓 解 措 施



1、升级补丁,参考oracle官网发布的补丁

https://www.oracle.com/security-alerts/cpujan2020.html

2、如果不依赖T3协议进行JVM通信,禁用T3协议。或配置相关筛选器保存生效(需重启)127.0.0.1 * * allow t3 t3s

0.0.0.0/0 * * deny t3 t3s

Weblogic CVE-2020-2555反序列化远程代码执行漏洞

相关检测T3协议命令

nmap.exe -p 7001 --script=weblogic-t3-info.nse XXX.XXX.XXX.XXX


Weblogic CVE-2020-2555反序列化远程代码执行漏洞

参考:

https://www.zerodayinitiative.com/blog/2020/3/5/cve-2020-2555-rce-through-a-deserialization-bug-in-oracles-weblogic-server

https://y4er.com/post/weblogic-cve-2020-2555/

 

分享到:
  • 相关推荐 RELATED TO RECOMMEND
  • 点击次数: 10
    2024 - 09 - 09
    Linux Linux_kernel存在释放后使用漏洞 https://access.redhat.com/security/cve/cve-2024-44974 Ibm多款产品存在内存缓冲区边界内操作的限制不恰当漏洞(CVE-2022-33162) https://nvd.nist.gov/vuln/detail/CVE-2022-33162 Onesoftnet Sudobot存在授权机制缺失漏洞 https://nvd.nist.gov/vuln/detail/CVE-2024-45307 Roxy-wi存在OS命令注入漏洞 https://cxsecurity.com/cveshow/CVE-2024-43804/ Seacms存在跨站脚本漏洞 https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-202408-2769
  • 点击次数: 12
    2024 - 09 - 04
    Linux版本的新Cicada勒索软件对VMware ESXi服务器构成威胁 https://www.truesec.com/hub/blog/dissecting-the-cicada 新银行木马Rocinante详情披露 https://www.threatfabric.com/blogs/the-trojan-horse-that-wanted-to-fly-rocinante#rocinante-or-pegasus 攻击者通过黑神话悟空修改器传播恶意木马 https://mp.weixin.qq.com/s/yArqTngBt-lGg4T7HEE0sw Delta Electronics DTN Soft漏洞预警 https://www.cisa.gov/news-events/ics-advisories/icsa-24-242-02 HZ Rat后门macOS版本瞄准中国钉钉和微信用户 https://securelist.com/hz-rat-attacks-wechat-and-dingtalk/113513/
  • 点击次数: 17
    2024 - 08 - 26
    Siamonhasan Warehouse_inventory_system存在跨站请求伪造漏洞 https://gist.github.com/topsky979/ed59fb8b35a220dfa064a3a3cb1ecb1b Pligg Pligg_cms存在跨站请求伪造漏洞 https://cxsecurity.com/cveshow/CVE-2024-42608/ Tenda Fh1206_firmware存在跨界内存写漏洞 https://www.cve.org/CVERecord?id=CVE-2024-7614 Ltcms存在服务器端请求伪造漏洞 https://github.com/DeepMountains/Mirage/blob/main/CVE14-1.mdApple Macos存在释放后使用漏洞 https://nvd.nist.gov/vuln/detail/CVE-2023-42892
  • 点击次数: 11
    2024 - 08 - 19
    Wurmlab Sequenceserver存在命令注入漏洞https://cxsecurity.com/cveshow/CVE-2024-42360/Zohocorp Manageengine_adaudit_plus存在SQL注入漏洞 https://www.manageengine.com/products/active-directory-audit/cve-2024-5487.html Asus Download_master存在危险类型文件的不加限制上传漏洞 https://cxsecurity.com/cveshow/CVE-2024-31161/ Skyworth多款产品存在敏感数据加密缺失漏洞 https://www.cnvd.org.cn/flaw/show/CNVD-2021-06537 Stitionai Devika存在路径遍历漏洞 https://www.exploit-db.com/exploits/52066
  • 点击次数: 12
    2024 - 08 - 14
    Vmware Vcenter_server存在跨界内存写漏洞 https://www.vmware.com/security/advisories/VMSA-2023-0023.html F5等厂商的多款产品存在资源穷尽漏洞 https://github.com/microsoft/CBL-Mariner/pull/6381 Nextgen Mirth_connect存在OS命令注入漏洞 http://packetstormsecurity.com/files/176920/Mirth-Connect-4.4.0-Remote-Command-Execution.html Ivanti多款产品存在服务器端请求伪造漏洞 https://cxsecurity.com/cveshow/CVE-2024-21893/ Idccms存在跨站请求伪造漏洞 https://cxsecurity.com/cveshow/CVE-2024-36549/
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1

陕公网安备 61019002000857号

犀牛云提供云计算服务