CVE-2018-2628補丁繞過分析與修復建議

一、漏洞背景

Oracle官方在北京時間2018年4月18日凌晨發布了關鍵補丁更新，其中包含了OracleWebLogic Server的一個高危反序列化漏洞（CVE-2018-2628），通過該漏洞，攻擊者可以在未授權的情況下遠程執行代碼。

二、補丁分析

針對Oracle發布的最新補丁進行測試，測試版本：weblogic10.3.6.0，反序列化工具為ysoserial。

使用大神[2]的測試腳本，利用ysoserial工具生成反序列化payload，成功執行命令，補丁仍可繞過。

測試環境使用的jdk為1.6.0.45，經測試，更新最新補丁後，ysoserial的payload僅Jdk7u21才能成功執行命令，CommonsCollections已無法執行代碼。

因此，更新補丁後，對於jdk

三、修復建議

1. 此漏洞產生於Weblogic T3服務，當開放Weblogic控制台埠（默認為7001埠）時，T3服務會默認開啟。關閉T3服務，或控制T3服務的訪問許可權，能防護該漏洞。對於不在Oracle官方支持範圍內的版本，由於沒有最新補丁，推薦採用此種方式進行修復。同時，Weblogic採用黑名單的方式進行反序列化漏洞的修復，存在被繞過的風險，因此控制T3服務為防護Weblogic RMI這類反序列化漏洞的有效方式。控制T3服務方式：

a）進入Weblogic控制台，在base_domain的配置頁面中，進入「安全」選項卡頁面，點擊「篩選器」，進入連接篩選器配置。

c）保存後需重新啟動，規則方可生效。

2. 更新Oracle官方發布的最新補丁，同時升級jdk至1.7.0.21以上版本。

補：參考鏈接

[1] http://www.freebuf.com/articles/web/169770.html

[2] https://github.com/brianwrf/CVE-2018-2628

[3] https://github.com/frohoff/ysoserial

[5] http://blog.topsec.com.cn/ad_lab/cve-2018-2628-weblogic%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/

[6] https://www.cnblogs.com/xiayuscc/p/5363840.html

[7] http://www.freebuf.com/news/150872.html

* 本文作者：sunyz2，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！