IBM WebSphere Application Server（WAS）是美國IBM公司的一款應(yīng)用服務(wù)器產(chǎn)品。該產(chǎn)品是JavaEE和Web服務(wù)應(yīng)用程序的平臺，也是IBMWebSphere軟件平臺的基礎(chǔ)。該漏洞存在于WebSphere SOAP Connector 服務(wù)，未經(jīng)授權(quán)的遠(yuǎn)程攻擊者可通過該漏洞在目標(biāo)服務(wù)器執(zhí)行任意惡意代碼。

一、WebSphere SOAP Connector 是什么服務(wù)？

WebSphere SOAP Connector 服務(wù)用于管理遠(yuǎn)程節(jié)點(diǎn)和數(shù)據(jù)同步，因此主要是在服務(wù)器與服務(wù)器之間進(jìn)行通信。它的默認(rèn)監(jiān)聽地址為0.0.0.0:8880。

二、漏洞描述

在遠(yuǎn)程主機(jī)上運(yùn)行的ibmwebsphereapplicationserver版本為7.0.0.0到7.0.0.45、8.0.0.0到8.0.0.15、8.5.5.18之前的8.5.0.x或9.0.5.4之前的9.0.x。因此，它受到權(quán)限提升漏洞的影響。由于未指定的原因，IBM WebSphere應(yīng)用程序服務(wù)器中存在此漏洞。經(jīng)過身份驗(yàn)證的遠(yuǎn)程攻擊者可以利用此漏洞，通過SOAP連接器上的管理請求中基于令牌的身份驗(yàn)證來獲得對系統(tǒng)的特權(quán)訪問。

三、漏洞概要

四、影響面評估

對于受漏洞影響的WebSphere 來說，如果攻擊者可以訪問到其SOAP Connector 服務(wù)端口，即存在被漏洞利用的風(fēng)險(xiǎn)（WebSphereSOAP Connector 默認(rèn)監(jiān)聽地址為0.0.0.0:8880，且此漏洞的利用無額外條件限制）。

由于WebSphere SOAP Connector 主要用于服務(wù)器之間的通信，因此多見于企業(yè)內(nèi)網(wǎng)環(huán)境中。

五、處置建議

修復(fù)方法

1. 目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://www.ibm.com/support/pages/node/6118222

https://www.ibm.com/support/pages/node/6174417

2. IBM官方并未給出漏洞的臨時緩解防護(hù)辦法，如果無法進(jìn)行補(bǔ)丁更新升級，建議使用雷池WAF并配置自定義規(guī)則對該漏洞進(jìn)行安全防護(hù)。