WebLogic Server是美國Oracle公司開發(fā)的應用服務中間件，適用于云環(huán)境和傳統(tǒng)環(huán)境。它提供了一個現(xiàn)代化的輕量級開發(fā)平臺，支持應用從開發(fā)到生產(chǎn)的全生命周期管理，簡化了應用的部署和管理流程。

最近，一些安全研究人員發(fā)現(xiàn)Weblogic wls-wsat組件中存在高風險的遠程命令執(zhí)行漏洞。

Moan技術(shù)的哨兵云資產(chǎn)風險監(jiān)控系統(tǒng)支持檢測此漏洞。

如果您的企業(yè)存在相關(guān)風險，可以聯(lián)系我們協(xié)助檢測是否受到此類漏洞的影響，避免攻擊者惡意利用，造成品牌和經(jīng)濟損失。

漏洞描述

WebLogic中默認包含Wls-wast包，由于這個WAR包在處理XML輸入信息上存在缺陷，攻擊者可以發(fā)送精心構(gòu)造的惡意HTTP請求，獲得目標服務器的權(quán)限，未經(jīng)授權(quán)遠程執(zhí)行命令。也就是說，攻擊者可以直接獲得服務器系統(tǒng)的權(quán)限，竊取數(shù)據(jù)，甚至威脅受害者內(nèi)網(wǎng)的安全。

受影響的版本

Weblogic 10.3。*

Weblogic 12.1.3

漏洞檢測

目前，Moan技術(shù)的哨兵云資產(chǎn)風險監(jiān)控系統(tǒng)已經(jīng)通過安裝相關(guān)應急插件(目前只有哨兵云saas支持)來支持檢測，如下圖所示。

漏洞修復

以下是臨時處置方法:

1.配置網(wǎng)址訪問控制策略

部署在公共網(wǎng)絡中的WebLogic服務器可以禁止通過ACL訪問/_async/*和/wls-wsat/*路徑。

2.刪除不安全的文件

請刪除wls9_async_response.war和wls-wsat.war文件及相關(guān)文件夾，然后重新啟動Weblogic服務。具體文件路徑如下:

10.3.*版本:

中間件 wlserver _ 10.3 服務器lib

% DOMAIN _ HOME % servers AdminServer tmp _ WL _ internal

% DOMAIN _ HOME % servers AdminServer tmp 。內(nèi)部

12.1.3版本:

中間件 Oracle _ Home oracle _ common 模塊

% DOMAIN _ HOME % servers AdminServer tmp 。內(nèi)部

% DOMAIN _ HOME % servers AdminServer tmp _ WL _ internal

注意:

Wls9_async_response.war和wls-wsat.war屬于一級應用程序包，刪除或重命名它們可能會導致未知的后果，因此Oracle不建議進行此類操作。

如果直接刪除該包時應用出現(xiàn)問題，將無法獲得Oracle產(chǎn)品部門的技術(shù)支持。

請自行進行影響評估，并在執(zhí)行此操作之前備份此文件。

建議使用WebLogic Server搭建網(wǎng)站的信息系統(tǒng)運營商進行自查，根據(jù)臨時解決方案及時修復漏洞。

請密切關(guān)注甲骨文7月份的官方補丁公告。