安全研究 SECURITY SERVICE

Weblogic CVE-2020-2555反序列化远程代码执行漏洞

发布时间: 2020-03-11
来源:
浏览数: 74

  漏洞背景  




反序列化漏洞已经逐渐成为攻击者/研究人员在面对Java Web应用安全研究侧重点。这些漏洞通常能进行远程代码执行(RCE),并且修复起来比较困难。在本文中,我们将分析CVE-2020-2555漏洞影响,并提供相应的解决方案。该漏洞存在于Oracle Coherence库中,从而影响使用该库的Oracle WebLogic服务器等常见产品(涉及多个Weblogic版本)。



  漏洞描述  




2020年3月5日,Zero0day公布了关于Weblogic(CVE-2020-2555)详细分析文章,Oracle Coherence为Oracle融合中间件中的产品,在WebLogic 12c及以上版本中默认集成到WebLogic安装包中,攻击者通过t3协议发送构造的序列化数据,能过造成命令执行的效果。
Weblogic CVE-2020-2555反序列化远程代码执行漏洞


  影响版本  




影响版本(包含Coherence包):

Oracle Coherence 3.7.1.17

Oracle Coherence 12.1.3.0.0

Oracle Coherence 12.2.1.3.0

Oracle Coherence 12.2.1.4.0


  影响版本  





    在分析CVE-2020-2555的补丁引入了一处修改,涉及LimitFilter类的toString()方法:下图为打补丁前的相关代码


Weblogic CVE-2020-2555反序列化远程代码执行漏洞

补丁在toString()中会将this.m_oAnchorTop和this.m_oAnchorBottom

作为参数传入ValueExtractor.extract(),补丁移除了extractor.extract()操作,跟进extract()看下,发现extract()只是一个抽象方法,并没有实现,那说明extract()在ValueExtractor的子类中可以利用。因为是反序列化,所以我们只需要在ValueExtractor子类中找到实现了Serializable或者ExternalizableLite反序列化接口并且有extract()的方法。

最终在com.tangosol.util.extractor.ReflectionExtractor#extract()找到了反射任意方法调用。


Weblogic CVE-2020-2555反序列化远程代码执行漏洞


执 行 过 程


1、通过调用FileOutputStream.write()实现任意文件创建;2、通过调用Runtime.exec()实现任意命令执行;

3、通过调用Method.invoke()实现任意方法调用。对于该漏洞,我们主要关注的是Method.invoke(),该调用能通过反射来调用任意Java方法。了解该信息后,我们开始查找具备extract()方法的所有实例(根据前文分析,该方法正是补丁分析后我们得出的根源点),并且最终会调用Method.invoke()。在Coherence库中提供了这样一个类(ChainedExtractor),可以让我们串接extract()调用:只要反序列化执行了chainedExtractor.extract()就可以造成rce。


Weblogic CVE-2020-2555反序列化远程代码执行漏洞

测试如下:

Weblogic CVE-2020-2555反序列化远程代码执行漏洞


处 置 建 议



防护建议


部署捷普入侵防御系统(IPS)的用户,更新相应规则升级包,开启Weblogic防护规则,配置相关安全策略,即可达到防护效果。


Weblogic CVE-2020-2555反序列化远程代码执行漏洞

临 时 缓 解 措 施



1、升级补丁,参考oracle官网发布的补丁

https://www.oracle.com/security-alerts/cpujan2020.html

2、如果不依赖T3协议进行JVM通信,禁用T3协议。或配置相关筛选器保存生效(需重启)127.0.0.1 * * allow t3 t3s

0.0.0.0/0 * * deny t3 t3s

Weblogic CVE-2020-2555反序列化远程代码执行漏洞

相关检测T3协议命令

nmap.exe -p 7001 --script=weblogic-t3-info.nse XXX.XXX.XXX.XXX


Weblogic CVE-2020-2555反序列化远程代码执行漏洞

参考:

https://www.zerodayinitiative.com/blog/2020/3/5/cve-2020-2555-rce-through-a-deserialization-bug-in-oracles-weblogic-server

https://y4er.com/post/weblogic-cve-2020-2555/

 

分享到:
  • 相关推荐 RELATED TO RECOMMEND
  • 点击次数: 1
    2023 - 02 - 02
    立即修改密码,KeePass曝严重漏洞,密码数据库被明文导出https://www.freebuf.com/articles/356226.html 开源电子病历OpenEMR曝出严重漏洞,影响全球10万医疗机构https://www.secrss.com/articles/51431 至少29000台设备受到影响,威联通公告QTS和QuTShero存在严重漏洞https://www.ithome.com/0/670/537.htm Eclypsium披露AMI MegaRAC BMC软件中的多个漏洞https://redqueen.tj-un.com/InfoDetails.html?id=990ab0fce6794b17b6ded101db00c3a0 新的 Sh1mmer ChromeBook 漏洞可取消注册受管设备https://www.bleepingcomputer.com/news/security/new-sh1mmer-chromebook-exploit-unenrolls-managed-devices/
  • 点击次数: 7
    2023 - 01 - 19
    立即修补Zoho ManageEngine实例!CVE-2022-47966的PoC漏洞即将发布https://securityaffairs.com/140920/hacking/zoho-manageengine-flaw-poc-exploit.html 研究人员发布针对Zoho RCE关键漏洞的PoChttps://www.bleepingcomputer.com/news/security/researchers-to-release-poc-exploit-for-critical-manageengine-rce-bug-patch-now/ 70%的应用程序发布5年后,至少包含一个漏洞https://www.freebuf.com/news/355512.html 专家在四种不同的Microsoft Azure服务中发现了SSRF漏洞https://securityaffairs.com/140947/hacking/microsoft-azure-services-ssrf-flaws.html  Netcomm和TP-Link路由器中被发现严重的安全漏洞https://thehackernews.com/2023/01/critical-security-vulnerabilities.html
  • 点击次数: 5
    2023 - 01 - 17
    思科针对EoL商业路由器中未修补的漏洞发出警告https://thehackernews.com/2023/01/cisco-issues-warning-for-unpatched.html 安全公司披露可窃取用户敏感信息的谷歌Chrome浏览器高危漏洞https://www.ithome.com/0/667/914.htm Cacti服务器因未能修补大多数关键漏洞而受到攻击https://thehackernews.com/2023/01/cacti-servers-under-attack-as-majority.html 美国防部计划发起“黑掉五角大楼3.0”漏洞赏金计划https://www.secrss.com/articles/51083 CISA警告:来自制造商的影响工业控制系统的漏洞https://www.bleepingcomputer.com/news/security/hackers-exploit-cacti-critical-bug-to-install-malware-open-reverse-shells/
  • 点击次数: 4
    2023 - 01 - 13
    Twitter回应,2亿用户数据不是通过系统漏洞流出https://www.freebuf.com/articles/355054.html 微软发布2023年1月份安全更新总计修复98个漏洞http://www.anquan419.com/knews/24/4183.html CISA命令机构修补勒索软件团伙滥用的Exchange漏洞https://www.bleepingcomputer.com/news/security/cisa-orders-agencies-to-patch-exchange-bug-abused-by-ransomware-gang/ 高通骁龙通告22个安全漏洞,联想、微软和三星设备受影响https://www.freebuf.com/news/354778.html Windows Backup Service权限提升漏洞 (CVE-2023-21752) 安全通告https://www.secrss.com/articles/51001
  • 点击次数: 1
    2023 - 01 - 10
    流行开发工具CircleCI曝出严重漏洞https://www.secrss.com/articles/50792 突破太空网络安全!航天器关键技术爆严重漏洞https://www.secrss.com/articles/50880 高通发布2023年1月份安全更新修复其固件中的22个漏洞https://redqueen.tj-un.com/InfoDetails.html?id=3291dee1d61d4d919c9478846cb229a3 Zoho修复ManageEngine中SQL注入漏洞CVE-2022-47523https://redqueen.tj-un.com/InfoDetails.html?id=8da7eecdc22e4d11ad63745bdd1ccf86 高通骁龙漏洞影响联想、微软和三星设备https://securityaffairs.com/140528/security/qualcomm-snapdragon-flaws.html
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1

陕公网安备 61019002000857号

犀牛云提供云计算服务