OracleCoherence反序列化远程代码执行漏洞

2020年03月06日 作者: 瀚思科技

漏洞概述

近日,瀚思科技安全团队关注到Oracle Coherence反序列化远程代码执行漏洞(CVE-2020-2555)被公开,CVSS评分为9.8,该漏洞允许未经身份验证的攻击者通过构造精心构造T3网络协议请求进行攻击,可在目标主机上执行任意代码。 Coherence为Oracle融合产品的一个中间件,其主要用于提供对数据的高速缓存和访问,业内流行的Oracle WebLogic在WebLogic Server 12c及以上版本中集成了Coherence库。

风险等级

互联网已有验证性PoC公开,该漏洞的威胁和影响面都大幅上升。

影响版本

Oracle Coherence 3.7.1.17

Oracle Coherence 12.1.3.0.0

Oracle Coherence 12.2.1.3.0

Oracle Coherence 12.2.1.4.0

漏洞详情

本次漏洞官方补丁更新了对LimitFilter类toString方法中对extract()方法的调用,跟入对应方法

查找到具备extract()方法并且可以利用的类ReflectionExtractor,可以通过传入参数反射执行命令:

应对建议

  1. 尽快更新Oracle 官方补丁 https://support.oracle.com/rs?type=doc&id=2602410.1

  2. 如暂时无法升级补丁,临时处置措施参考如下: 如果企业组织不依赖T3协议进行JVM通信,可暂时通过控制T3协议的访问来临时阻断针对利用T3协议漏洞的攻击。

具体进入WebLogic控制台,在base_domain的配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器。在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl

在连接筛选器规则框中输入:

127.0.0.1 * * allow t3 t3s

0.0.0.0 * * deny t3 t3s

保存并重启生效。

参考链接

https://www.oracle.com/security-alerts/cpujan2020.html