作者:Badcode@知道創宇404實驗室
英文版本:https://paper.seebug.org/985/
漏洞簡介
2018年4月18日,Oracle官方發布了4月份的安全補丁更新CPU(Critical Patch Update),更新中修復了一個高危的 WebLogic 反序列化漏洞CVE-2018-2628。攻擊者可以在未授權的情況下通過T3協議對存在漏洞的 WebLogic 組件進行遠程攻擊,並可獲取目標系統所有權限。
漏洞影響
- Weblogic 10.3.6.0
- Weblogic 12.1.3.0
- Weblogic 12.2.1.2
- Weblogic 12.2.1.3
Weblogic 反序列化漏洞歷程
這裡簡單的說下幾個有公開利用方式的Weblogic反序列化漏洞。
CVE-2015-4852
2015年11月6日,FoxGlove Security 安全團隊的 @breenmachine 發布的一篇博客中介紹了如何利用Java反序列化和 Apache Commons Collections 這一基礎類庫來攻擊最新版的 WebLogic、WebSphere、JBoss、Jenkins、OpenNMS 這些大名鼎鼎的Java應用,實現遠程代碼執行。CVE-2015-4852就是利用 Weblogic 中的Commons Collections 庫來實現遠程代碼執行。查看了CVE-2015-4852的補丁(p21984589_1036_Generic),發現 Weblogic 採用的黑名單的形式來修復這個漏洞。