CVE-2018-2628安全补丁并不完善 致WebLogic服务器仍易受黑客攻击

本月早些时候，甲骨文公司（Oracle）针对旗下WebLogic Server产品发布了一个至关重要的安全补丁，用于修补一个被评定为“高危”的Java反序列化远程代码执行漏洞，该漏洞允许攻击者能够在未授权的情况下远程执行任意代码。

然而，一位推特ID为“pyn3rd”并声称来自阿里云安全团队的安全研究人员在上周六（4月27日）发表的推文中表示，Oracle发布的这个安全补丁似乎并不那么“可靠”，一种方法已经被发现可用来绕过这个安全补丁并实现该漏洞的利用。

Oracle WebLogic Server是由Oracle公司开发的一款适用于云环境和传统环境的应用服务中间件，充当多层企业应用程序的前端用户界面和后端数据库之间的中间层。它为所有组件提供一套完整的服务，并自动处理应用程序行为的详细信息，这极大简化了应用的部署和管理。

被追踪为CNNVD-201804-803（CVE-2018-2628）的WebLogic漏洞最初是由NSFOCUS安全团队的廖新喜在2017年11月份通报给Oracle公司的，可以通过TCP端口7001的网络访问被利用。

远程攻击者可利用该漏洞在未授权的情况下发送攻击数据，通过T3协议在WebLogic Server中执行反序列化操作，实现任意代码执行。在WebLogic 的 RMI（远程方法调用）通信中，T3协议用来在 WebLogic Server 和其他 Java 程序间传输数据，而该协议在开放WebLogic控制台端口的应用上是默认开启的。

该漏洞涉及了多个版本，具体受影响版本如下：

Oracle WebLogic Server 10.3.6.0

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 12.2.1.2

Oracle WebLogic Server 12.2.1.3

虽然pyn3rd只是发布了一个GIF动态图片来作为概念证明（PoC），而不是发布完整的绕过代码或任何技术细节，但是对于熟练的黑客来说，要想找到一种方法来实现同样的目标，几乎仅需要几个小时或几天的时间。

目前，尚不清楚Oracle公司何时会发布新的安全补丁，以解决这个能够绕过Oracle安全补丁并实现CNNVD-201804-803（CVE-2018-2628）漏洞利用的新问题。

由于该漏洞的攻击代码已在互联网上被公开，另外已经有攻击者开始在互联网上扫描易受攻击的WebLogic服务器。因此我们建议还没有安装Oracle补丁的用户应及时确认自己的服务器是否受到漏洞的影响，并尽快采取修补措施。即使这个补丁并不完善，但至少能让你获得初步的保护。

来源：黑客视界