关于Oracle Weblogic多个高危漏洞的安全预警

近日，Oracle官方发布了2021年1月份关键补丁更新公告，包含329个安全补丁，其中涉及7个漏洞评分为9.8的Weblogic Server的高危漏洞（CVE-2019-17195、CVE-2021-1994、CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075、CVE-2020-14756），未经身份验证的攻击者可能利用该漏洞获取WebLogic服务器权限。提醒有关Oracle Weblogic师生用户，请及时下载补丁更新，避免引发漏洞相关的安全事件。

漏洞背景：

Weblogic是由美国Oracle公司出品的一款基于J2EE架构的中间件，主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器，在国内外应用十分广泛。

漏洞原理：

CVE-2021-2047、CVE-2021-2075、CVE-2021-2064、CVE-2021-2108和CVE-2020-14756漏洞与IIOP、T3协议有关，受影响组件主要为Weblogic Core和Coherence，Weblogic使用IIOP、T3协议进行JVM通信，且默认开启；CVE-2019-17195和CVE-2021-1994两个漏洞可通过HTTP协议进行利用，受影响的组件分别为WebLogicCore（Connect2id Nimbus JOSE+JWT）和Web Services。未经身份验证的远程攻击者可构造恶意数据通过IIOP、T3和HTTP协议对存在漏洞的组件进行攻击，从而获取服务器权限，实现远程代码执行。

影响范围：

处置方法：

1、官方补丁

目前Oracle官方已发布漏洞安全补丁，请受影响的用户及时升级补丁以修复该漏洞，参考链接：https://www.oracle.com/security-alerts/cpujan2021.html

2、临时缓解措施

若无法安装升级修复补丁，可采取如下修复措施：

限制外部主机使用T3协议通信：

1）进入Weblogic控制台，在base_domain的域设置页面中，选择“安全”-“筛选器”选项卡，对连接筛选器进行配置；

2）在连接筛选器输入框中输入：weblogic.security.net.ConnectionFilterImpl；

3）在连接筛选器规则输入框中输入：127.0.0.1 * * allow t3 t3s（仅允许本机）0.0.0.0/0 * * deny t3 t3s；

4）保存提交后若规则未生效，则需重启Weblogic服务。

关闭IIOP协议：

1）登录Weblogic控制台，进入base_domain配置页面；

2）依次点击“环境”-“服务器”，在服务器配置页面中选择对应的服务器后，切换到“协议”-“IIOP”选项卡，取消勾选“启用 IIOP”；

3）重启Weblogic项目，使其生效。

相关来源：沈阳网络安全协会