據(jù)有關部門通知，WebLogic中間件存在任意命令執(zhí)行漏洞，鑒于漏洞影響范圍較大,潛在危害程度較高,請各單位及時關注,核查相關軟件產(chǎn)品使用情況，在確保安全的前提下及時修補漏洞,消除安全隱患,提高安全防范能力。

一、漏洞信息：

漏洞名稱：WebLogic中間件任意命令執(zhí)行漏洞

影響產(chǎn)品及版本：暫無詳細信息

漏洞描述：攻擊者可以對T3/IIOP接口發(fā)送惡意內(nèi)容，導致任意命令執(zhí)行

漏洞類型：任意命令執(zhí)行

二、漏洞分析：

廠商未公開漏洞信息，未發(fā)布補丁，PoC未公開，已確認該Oday漏洞有在野利用。

雷池產(chǎn)品︰

是否對產(chǎn)品安全性產(chǎn)生影響︰否;

是否支持檢測︰非WEB應用協(xié)議，不支持檢測。

諦聽產(chǎn)品:

是否對產(chǎn)品安全性產(chǎn)生影響︰否;

是否具備該類型蜜罐:具備weblogic蜜罐

洞鑒產(chǎn)品︰

是否對產(chǎn)品安全性產(chǎn)生影響︰否﹔

是否支持檢測:支持,通過自定義POC可檢測。

牧云產(chǎn)品:

是否對產(chǎn)品安全性產(chǎn)生影響︰產(chǎn)線驗證中。

是否具備該類型檢測∶產(chǎn)線驗證中。

全悉產(chǎn)品:

是否對產(chǎn)品安全性產(chǎn)生影響:否;

是否具備支持檢測:無需升級，即可檢測。

萬象產(chǎn)品:

是否對產(chǎn)品安全性產(chǎn)生影響:否;

額外說明∶搭配全悉等產(chǎn)品進行使用。

三、處置建議：

1.暴露在公網(wǎng)的WebLogic應配置對外禁用T3和IIOP，在不影響業(yè)務的情況下，T3和IIOP協(xié)議應只對內(nèi)部可信主機段開放;

2.配置禁用辦法：

方法一：配置WebLogic對外部禁用T3協(xié)議的具體步驟：

Ⅰ．登入WebLogic控制臺，在對應域設置中選擇“安全”-“篩選器”選項卡；

Ⅱ．在“連接篩選器”輸入框中輸入: weblogic.security.net.ConnectionFilterlmpl，在“連接篩選器規(guī)則”輸入框中輸入如下，即配置為僅允許本機使用T3/T3S協(xié)議通信，禁用除可信主機以外其他主機使用T3/T3S協(xié)議通信。

方法二：配置WebLogic禁用IIOP協(xié)議的具體步驟：

登入WebLogic控制臺，在對應域設置中選擇“環(huán)境”-“服務器”，并選中要設置的服務器。然后在對應服務器設置中選擇“協(xié)議”-“IIOP”選項卡，并取消“啟用IIOP”前面的勾選，保存配置。

3.使用流量檢測防護設備，檢測T3/IIOP協(xié)議數(shù)據(jù)包中是否出現(xiàn)ForeignOpaqueReference關鍵詞。

2022年7月29日