1.漏洞公告

2020年4月14日，Oracle官方發(fā)布了2020年4月安全更新公告，包含了其家族WebLogic Server在內(nèi)的多個產(chǎn)品安全漏洞公告，其中有3個涉及Oracle WebLogic Server的Core組件、T3協(xié)議遠(yuǎn)程代碼執(zhí)行的高危漏洞，對應(yīng)CVE編號：CVE-2020-2801、CVE-2020-2883和CVE-2020-2884。

Oracle WebLogic Server其他中高危漏洞還包括：

l CVE-2020-2867,Web Container組件、HTTP協(xié)議;

l CVE-2020-2828，WLS Web Services組件、T3協(xié)議;

l CVE-2020-2798，WLS Web Services組件、T3協(xié)議;

l CVE-2020-2811，Console組件、HTTP協(xié)議;

l CVE-2020-2766,Console組件、HTTP協(xié)議；

l CVE-2020-2829,Management Services組件、HTTP協(xié)議；

l CVE-2020-2869，Console組件、HTTP協(xié)議。

另外涉及T3協(xié)議的還有Oracle Coherence的高危漏洞，對應(yīng)CVE編號：CVE-2020-2915，漏洞公告鏈接：

https://www.oracle.com/security-alerts/cpuapr2020.html

Oracle歷史安全公告參考：https://www.oracle.com/security-alerts

2. 影響范圍

CVE-2020-2801漏洞影響版本：

WebLogic Server 10.3.6.0.0

WebLogic Server 12.1.3.0.0

WebLogic Server 12.2.1.3.0,

WebLogic Server 12.2.1.4.0

CVE-2020-2883漏洞影響版本：

Weblogic Server 10.3.6.0.0

Weblogic Server 12.1.3.0.0,

Weblogic Server 12.2.1.3.0

Weblogic Server 12.2.1.4.0

CVE-2020-2884漏洞影響版本：

Weblogic Server 12.2.1.4.0

CVE-2020-2915漏洞影響版本：

Oracle Coherence 3.7.1.0

Oracle Coherence 12.1.3.0.0

Oracle Coherence 12.2.1.3.0

Oracle Coherence 12.2.1.4.0

補(bǔ)丁下載：用戶可以登錄Oracle官網(wǎng)下載安全更新補(bǔ)丁。

3.漏洞描述

CVE-2020-2801、CVE-2020-2883和CVE-2020-2884漏洞：主要涉及WebLogic Server，默認(rèn)監(jiān)聽的T3協(xié)議存在反串行化遠(yuǎn)程代碼執(zhí)行漏洞，成功利用該漏洞可以達(dá)到命令執(zhí)行的效果，甚至獲取WebLogic Server的服務(wù)運行權(quán)限，已經(jīng)驗證漏洞可以成功利用：（https://github.com/hktalent/CVE_2020_2546 ）

CVE-2020-2915漏洞：主要涉及Oracle Coherence，默認(rèn)監(jiān)聽的T3協(xié)議存在遠(yuǎn)程代碼執(zhí)行漏洞，成功利用該漏洞可以達(dá)到命令執(zhí)行的效果，甚至獲取WebLogic Server的服務(wù)運行權(quán)限。

建議盡快升級到漏洞修復(fù)的版本或采取臨時緩解措施進(jìn)行加固

4.緩解措施

高危：目前漏洞細(xì)節(jié)和利用代碼暫未公開，但惡意攻擊者可能對安全更新補(bǔ)丁進(jìn)行對比分析出漏洞原因，并進(jìn)一步開發(fā)出漏洞利用代碼或工具，建議及時測試并安裝安全更新補(bǔ)丁，或采取臨時緩解措施加固系統(tǒng)。

（1）臨時緩解措施：

CVE-2020-2801、CVE-2020-2883、CVE-2020-2884和CVE-2020-2915漏洞：建議盡快安裝安全更新補(bǔ)?。梢允褂肂SU智能更新）或使用連接篩選器臨時阻止外部訪問7001埠的T3/T3s協(xié)議：

（2）連接篩選器：

weblogic.security.net.ConnectionFilterImpl

規(guī)則示例：

0.0.0.0/0 * 7001 deny t3 t3s   

#拒絕所有訪問允許和拒絕指定IP規(guī)則示例：

192.168.1.0/24 * 7001 allow t3 t3s #允許指定IP段訪問

192.168.2.0/24 * 7001 deny t3 t3s  #拒絕指定IP段訪問

連接篩選器說明參考：

https://docs.oracle.com/cd/E24329_01/web.1211/e24485/con_filtr.htm#SCPRG377

安全運營建議：Oracle WebLogic歷史上已經(jīng)報過多個安全漏洞（其中多為反串行化漏洞），建議使用該產(chǎn)品的企業(yè)經(jīng)常關(guān)注官方安全更新公告。