cve公告
Oracle官方釋出了2021年4月的更新檔修複如下漏洞:
CVE-2021-2157
CVE-2021-2294
CVE-2021-2204
CVE-2021-2214
CVE-2021-2135
CVE-2021-2136
CVE-2021-2211
CVE-2021-2277
CVE-2020-25649
CVE-2021-2142
其中涉及WebLogic元件的高危漏洞有2個,分别為CVE-2021-2135、CVE-2021-2136。危害較大要盡快更新釋出的安全更新檔。
WebLogic是美國Oracle公司出品的一個Application Server,确切的說是一個基于Jave EE架構的中間件。
WebLogic是用于開發、內建、部署和管理大型分布式Web應用、網絡應用和資料庫應用的Java應用伺服器。
CVE-2021-2136
攻擊者可以在未授權的情況下通過IIOP協定對存在漏洞的WebLogic Server元件進行攻擊。成功利用該漏洞的攻擊者可以接管WebLogic Server。
CVE-2021-2135
攻擊者可以在未授權的情況下通過IIOP、T3協定對存在漏洞的WebLogic Server元件進行攻擊。成功利用該漏洞的攻擊者可以接管WebLogic Server。
影響範圍
目前國内網際網路開放WebLogic的資産數量非常多,這是我在fofa上查詢結果https://fofa.so/result?qbase64=IldlYkxvZ2ljIiAmJiBjb3VudHJ5PSJDTiIgJiYgaGVhZGVyPSJXZWJMb2dpYyI%3D。
目前受影響的Oracle WebLogic Server版本:
CVE-2021-2135 CVE-2021-2136:
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
解決方法
進入WebLogic安裝主目錄下的OPatch目錄,輸入./opatch lspatches指令,查詢版本:
./opatch lspatches
四月 21,2021 10:00:06 上午 oracle.sysman.oii.oiii.OiiiInstallAreaControl initAreaControl
資訊:Install area Control created with access level 0
31656851 WLS PATCH SET UPDATE 12.1.3.0.201020
官方已釋出受影響版本的對應更新檔,連結如下:
https://www.oracle.com/security-alerts/cpuapr2021.html
打更新檔更新
使用opatch安裝更新檔,進入Oracle\Middleware\Oracle_Home\OPatch目錄運作opatch.bat腳本:
需要使用Oracle官方的最新更新檔,結合自己使用的WebLogic Server版本号選擇對應的更新檔進行安裝。
運作opatch apply {WebLogic更新檔檔案夾}指令進行更新檔安裝:
再運作opatch lspatches指令,檢視更新檔号,确認是否安裝最新更新檔。
臨時解決辦法
1. 關閉IIOP協定對此漏洞進行臨時解決辦法:
在WebLogic控制台選擇"AdminServer"->"協定",取消"啟用IIOP"的勾選重新開機WebLogic使配置生效。
2. 對T3服務進行控制臨時解決方法:
然後在WebLogic界面中選擇安全篩選器:
1. 在下方出現的界面中找到"連接配接篩選器",在裡面輸入security.net.ConnectionFilterImpl
2. 然後在連接配接篩選器規則中輸入127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s
3. 最後儲存并重新開機伺服器即可生效。
甲方自動化解決方案
作為甲方安全部門,應該自研或采購主機資産檢測系統,監控主機資産,包括系統、程序、系統賬号、使用者組、端口、站點、軟體、資料庫、環境變量、安裝包等。
通過定時收集更新企業所有主機資産資訊,形成安全資産資料庫。然後周遊所有主機資訊,檢索WebLogic安裝包、程序版本。如發現存在有漏洞影響版本,立即更新更新檔。
關于自動化打更新檔
前些年運維批量部署常用puppet加自動更新腳本實作。現在我們有了功能更加便捷的ansible自動化批量部署工具,集合了衆多運維工具(puppet、cfengine、chef、func、fabric)的優點,還具有跨平台的特點,收管的伺服器不論是windows系列亦或是linux/unix系列,均可實作自動化更新檔安裝實作了批量系統配置、批量程式部署。
通過排程程式查詢安全資産資料庫,擷取主機資産的系統類型、核心版本、WebLogic受影響版本12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0。此時已經擷取到了受影響的主機清單。
ansible伺服器向内網更新檔伺服器擷取相應的更新檔包。
取到對應的更新檔包後,将更新檔包分發給受影響的主機們,并發送安裝更新打更新檔指令。
進一步地
我們還可看收集CVE資訊,形成公司自己的CVE安全漏洞庫,定期更新周遊CVE漏洞庫、檢索企業資産資料庫,找出受影響的主機,然後使用ansible自動打更新檔,最終形成一個彙總報告。