8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全公告

WebLogic T3和谈反序列化 0day 缝隙

颁布功夫 2021-04-19

0x00 缝隙概述

CVE ID		时间	2021-04-19
类型	RCE	等级	高危
远程利用	是	影响领域
PoC/EXP	已公开	在野利用	是

0x01 缝隙详情

近日，，，，，，，，WebLogic被披露存在一个T3和谈反序列化0 day缝隙，，，，，，，，攻击者可利用此缝隙造成远程代码执行，，，，，，，，目前该缝隙处于在野0day状态，，，，，，，，并且PoC/EXP已在Github上公开。。。。。

在该缝隙的poc中，，，，，，，，使用了java.rmi.MarshalledObject类，，，，，，，，并将objBytes属性作为反序列化的流，，，，，，，，从中解析对象，，，，，，，，能够通过把objBytes代替为指定反序列化就能够实现weblogic黑名单绕过。。。。。

0x02 措置建议

建议将jdk升级到最新版本，，，，，，，，并禁用iiop/t3和谈以作为一时缓解措施。。。。。

禁用T3和谈，，，，，，，，具体操作如下：

1）进入WebLogic节造台，，，，，，，，在base_domain的配置页面中，，，，，，，，进入“安全”选项卡页面，，，，，，，，点击“筛选器”，，，，，，，，进入衔接筛选器配置。。。。。

2)在衔接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，，，，，，，，在衔接筛选器规定中输入：127.0.0.1 * * allow t3t3s，，，，，，，，0.0.0.0/0 * *deny t3 t3s(t3和t3s和谈的所有端口只允许本地接见)。。。。。

3）保留后需沉新启动，，，，，，，，规定方可生效。。。。。

禁用IIOP和谈，，，，，，，，具体操作如下：

登陆WebLogic节造台，，，，，，，，base_domain >服务器概要 >AdminServer

下载链接：

https://www.oracle.com/cn/java/technologies/javase/javase-jdk8-downloads.html

0x03 参考链接

https://github.com/hhroot/2021_Hvv/commit/8dcfdd7786ded69f404d52a162a8c4dfcbfd34b9

https://www.oracle.com/cn/java/technologies/javase/javase-jdk8-downloads.html

0x04 功夫线

2021-04-18 钻研人员披露缝隙

2021-04-19 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】