vlambda博客
学习文章列表

Oracle四月补丁更新及多个高危漏洞风险提示


漏洞公告

2022年4月20日,Oracle官方发布了2022年4月安全更新公告,包含了其家族WebLogic Server在内的多个产品安全漏洞公告,其中Oracle Weblogic Server远程代码执行漏洞(CVE-2022-23305),Oracle Coherence远程代码执行漏洞(CVE-2022-21420)风险较高,建议相关用户尽快采取措施进行修复。相关链接参考:

https://www.oracle.com/security-alerts/cpuapr2022.html


漏洞风险矩阵参考(直接筛选CVE编号查询简约漏洞描述):

https://www.oracle.com/security-alerts/cpuapr2022verbose.html


Oracle历史安全漏洞公告参考:

https://www.oracle.com/security-alerts/




影响范围


CVE-2022-23305漏洞影响以下Weblogic Server版本:

12.2.1.3.0、12.2.1.4.0、14.1.1.0.0


CVE-2022-21420漏洞影响以下Oracle Coherence版本:

12.2.1.3.0、12.2.1.4.0、14.1.1.0.0



漏洞描述


Oracle Weblogic Server远程代码执行漏洞(CVE-2022-23305):根据分析,该漏洞为Oracle Fusion Middleware 的 Oracle WebLogic Server 产品中的漏洞。由于引用了第三方依赖Apache Log4j,允许未经身份验证的攻击者通过 HTTP 进行网络访问来破坏 Oracle WebLogic Server。成功利用此漏洞可导致 Oracle WebLogic Server 被接管。

细节是否公开 POC状态 EXP状态 野利用
未公开 未公开 未知


Oracle Coherence远程代码执行漏洞(CVE-2022-21420):根据分析,该漏洞为Oracle 融合中间件(组件:core)的 Oracle Coherence 产品中的漏洞。允许未经身份验证的攻击者通过T3访问网络来破坏 Oracle Coherence。成功利用此漏洞可导致 Oracle Coherence 被接管。

细节是否公开 POC状态 EXP状态 野利用
未公开 未公开 未知



漏洞检测


3.1 本地检测

查看Weblogic版本和补丁安装的情况:

Oracle四月补丁更新及多个高危漏洞风险提示

上图目标中,如果Weblogic版本在漏洞影响范围内且未对系统安装相应补丁,则说明存在风险。


3.2 T3协议探测

Nmap工具提供了Weblogic T3协议的扫描脚本,名称为weblogic-t3-info.nse。使用方式如下图所示:

Oracle四月补丁更新及多个高危漏洞风险提示

上图目标中开启了T3协议,若Weblogic版本在漏洞影响范围内且未对系统安装相应补丁,则说明存在风险。





缓解措施


紧急:目前漏洞细节和利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,建议及时测试并升级到漏洞修复的版本。安恒信息将在产品的例行更新中加入相关攻击检测和防护能力。


4.1 官方修复建议

目前Oracle已发布升级补丁修复了上述漏洞,请用户参考官方通告及时下载更新补丁,并参照补丁包中的readme文件进行安装。

补丁获取链接:https://www.oracle.com/security-alerts/cpuapr2022.html


4.2 临时缓解措施

如果用户暂时无法安装补丁且非必须开启T3协议与IIOP协议,可通过限制T3协议访问和禁用IIOP协议。


  • 限制T3协议访问

1.进入Weblogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。

Oracle四月补丁更新及多个高危漏洞风险提示

2.在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,参考以下写法,在连接筛选器规则中配置符合企业实际情况的规则:

规则示例:

0.0.0.0/0 * 7001 deny t3 t3s         #拒绝所有访问

允许和拒绝指定IP规则示例:

192.168.1.0/24 * 7001 allow t3 t3s   #允许指定IP段访问

192.168.2.0/24 * 7001 deny t3 t3s   #拒绝指定IP段访问


连接筛选器说明参考(英文):

https://docs.oracle.com/cd/E24329_01/web.1211/e24485/con_filtr.htm#SCPRG377

Oracle四月补丁更新及多个高危漏洞风险提示


保存后若规则未生效,建议重新启动Weblogic服务(重启Weblogic服务会导致业务中断,建议相关人员评估风险后,再进行操作)。以Linux环境为例,重启服务的步骤如下:

a.进入Oracle/Middleware/user_projects/domains/base_domain/bin 目录下,执行stopWebLogic.sh

Oracle四月补丁更新及多个高危漏洞风险提示


b.待终止脚本执行完成后,再运行startWebLogic.sh文件启动Weblogic,即可完成Weblogic服务重启。


  • 禁用IIOP协议

在Weblogic控制台中,选择“base_domain”->“监视”->“AdminServer”

进入“AdminServer”-> “协议”->“IIOP”中,取消“启用IIOP"的勾选。并重启Weblogic项目,使配置生效。


安全运营建议:Oracle WebLogic历史上已经报过多个安全漏洞(其中多为反序列化漏洞),建议使用该产品的企业经常关注官方安全更新公告。


安恒信息CERT

2022年4月