漏洞风险提示 | WebLogic多个高危漏洞

长亭安全应急响应中心 2023-04-20 11:45

长亭漏洞风险提示       

WebLogic多个高危漏洞

Oracle 官方在 4 月 19 日发布了重要补丁更新 CPU（Critical Patch Update），其中修复了存在于 Oracle WebLogic Server 中的多个高危漏洞：https://www.oracle.com/security-alerts/cpuapr2023.html
漏洞描述

CVE编号	影响组件	协议	CVSS评分
CVE-2023-21996	Web Services	HTTP	7.5
CVE-2023-21931	Core	T3	7.5
CVE-2023-21964	Core	T3	7.5
CVE-2023-21979	Core	T3	7.5
CVE-2023-21956	Web Container	HTTP	6.1
CVE-2023-21960	Core	HTTP	5.6

其中 CVE-2023-21931 和 CVE-2023-21979 为 WebLogic Server T3 和 IIOP 协议中的高危漏洞（长亭科技技术人员已确认，这两个漏洞并非只影响官方公告里所描述的 T3 协议），攻击者可在远程且未经授权的状态下通过 T3 / IIOP 协议交互利用此漏洞，在服务端执行任意恶意代码，获取系统权限。

CVE-2023-21996为 WebLogic Web Services 组件中的漏洞，攻击者可在远程且未经授权的状态下通过 HTTP 协议交互利用这些漏洞。但目前相关漏洞均暂无任何公开细节。

影响范围

CVE编号	影响版本
CVE-2023-21996	12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2023-21931	12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2023-21964	12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2023-21979	12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2023-21956	12.2.1.4.0, 14.1.1.0.0
CVE-2023-21960	12.2.1.3.0, 12.2.1.4.0

解决方案

使用 Oracle 官方安全补丁进行更新修复： https://www.oracle.com/security-alerts/cpuapr2023.html另外针对 CVE-2023-21931 和 CVE-2023-21979 这两个漏洞，用户还需要更新 Java 版本才能完全修复（Java > 8u191）。对于无法更新 Java 版本或漏洞补丁的用户，建议不要将 WebLogic T3/IIOP 协议服务暴露在不可信网络中，可在确认不影响业务的情况下可以考虑配置 WebLogic 对外部禁用 T3、IIOP 协议。配置 WebLogic 对外部禁用 T3 协议的具体步骤：1、登入 WebLogic 控制台，在对应域设置中选择 “安全”-“筛选器” 选项卡：2、在 “连接筛选器” 输入框中输入：weblogic.security.net.ConnectionFilterImpl3、在 “连接筛选器规则” 输入框中输入（即配置为仅允许本机使用 T3/T3S 协议通信，禁用除本机以外其他主机使用 T3/T3S 协议通信）：127.0.0.1 * * allow t3 t3s0.0.0.0/0 * * deny t3 t3s4、输入后保存提交即可。配置 WebLogic 禁用 IIOP 协议的具体步骤：1、登入 WebLogic 控制台，在对应域设置中选择 “环境”-“服务器”，并选中要设置的服务器。然后在对应服务器设置中选择 “协议”-“IIOP” 选项卡，并取消 “启用IIOP” 前面的勾选：2、保存后，重启服务器使设置生效。

产品支持云图：默认支持该产品的指纹识别，同时支持该漏洞的PoC原理检测。全悉：默认支持该漏洞利用行为的检测。洞鉴：支持通过升级应急版本的方式进行检测。
参考链接

• https://www.oracle.com/security-alerts/cpuapr2023.html