vlambda博客
学习文章列表

漏洞预警 | 关于weblogic、jboss、struts2、shiro组 件漏洞自查和处置建议

weblogic、jboss、struts2、shiro组 件漏洞自查和处置建议




0 1
基本情况


近期,境外黑客组织利用weblogic、jboss、struts2、shiro组件对国内网站发起攻击事件频发,该组织在获取目标服务器权限后对网页实施篡改,挂反动标语,同时在谷歌地图上做标记,注明攻陷网站名称和具体事件,然后通过网络扩散,造成不良影响。


当前正值七一建党百年庆之际,为保障网络安全、稳定、有序运行,落实重大活动网络安全保卫工作责任,请用户尽快开展网络资产自查工作,检查是否使用上述组件,排查风险并封堵漏洞,以防被攻击者利用漏洞控制服务器权限,造成严重影响。     



0 2
漏洞类型


1、shiro反序列化漏洞

Apache Shiro是美国阿帕奇(Apache)软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。


Apachie Shiro 框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对RememberMe 的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化远程命令执行漏洞。


2.weblogic漏洞

Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务器,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。WLS Security是其中的一个安全组件。


Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。



3.Jboss 漏洞

Red Hat JBoss Application Server是美国红帽(Red Hat)公司的一款基于Java EE的开源的应用服务器。该产品具有启动超快、轻量、模块化设计、热部署和并行部署、简洁管理、域管理及第一类元件等特性。


JBoss高危漏洞主要涉及到以下两种:第一种是利用位置授权访问进入JBoss后台进行文件上传的漏洞,例如:CVE-2007-1036, CVE-2010-0738,CVE-2006-5750以及JBoss jmx-consoleHtmlAdaptor addURL() file Upload Vulnerability.


另一种是利用java反序列化远程代码执行的漏洞,例如:CVE-2015-7501,CVE-2017-7504,CVE-2017-12149,CVE-2013-4810.

漏洞预警 | 关于weblogic、jboss、struts2、shiro组 件漏洞自查和处置建议



4.struts2漏洞

Apache Struts是美国阿帕奇(Apache)软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。


Struts2是一个基于MVC设计模式的Web应用框架,本质上相当于一个servlet,会对某些标签属性(比如id)的属性值进行二次表达式解析,因此在某些场景下可能导致远程代码执行漏洞。




0 3
影响范围


Apache Shiro  < 1.2.4

Jboss 5.x、Jboss6.x、Jboss4.x

Weblogic 10.3.6.0.0,12.1.3.0.0,12.2.1.1.0,12.2.1.2.0,12.2.1.3.0,12.2.1.4.0等版本

Struts2.5-2.5.16等版本



0 4
处置建议

4.1、安排专业网络安全人员对自身网络资产进行漏洞排查并进行补丁和程序更新;


4.2、低于Apache Shiro1.7.1、Struts2.5.26、Jboss AS7.1.1、WebLogic14.1.1.0版本的会存在相关风险,请大家注意,及时更新


4.3、针对单位网络安全情况进行一次网络安全巡检和安全渗透,查漏补缺,防范于未然。


比特豹是面向政企事业单位提供网络安全及系统运维服务的专业信息技术服务企业,其中网络安全服务主要包含安全渗透测试、安全漏洞扫描、深度威胁检测、安全风险评估、系统安全加固、网络安全保障、等保安全咨询及安全运维服务;系统运维服务主要面向数据中心内的环境设施、网络、服务器、存储设备、数据库系统运维服务以及机房搬迁专项服务。


目前已经通过ISO9001-2008质量管理体系认证、ISO20000信息技术服务管理系统认证、ISO27001信息安全管理体系认证、CCRC信息安全服务资质、ITSS信息技术服务运行维护标准符合认证,取得计算机信息系统集成及服务资质三级认证,被国家评为高新技术企业认证。


如需技术支持,请咨询:13826124483