【已复现】Oracle WebLogic Server 远程代码执行漏洞 (CVE-2023-21839)安全风险通告
安全通告
近日,奇安信CERT监测到Oracle WebLogic Server远程代码执行漏洞(CVE-2023-21839),该漏洞允许未经身份验证的远程攻击者通过T3/IIOP协议网络访问并破坏易受攻击的WebLogic服务器,成功利用此漏洞可能导致Oracle WebLogic服务器被接管或敏感信息泄露。奇安信CERT已第一时间分析复现此漏洞。鉴于该漏洞在低版本JDK环境下影响较大,建议客户尽快做好自查及安装补丁。
漏洞名称 | Oracle WebLogic Server远程代码执行漏洞 | ||
公开时间 | 2023-01-18 | 更新时间 | 2023-01-18 |
CVE编号 | CVE-2023-21839 | 其他编号 | QVD-2023-2423 |
威胁类型 | 代码执行 | 技术类型 | 反序列化错误 |
厂商 | Oracle | 产品 | WebLogic Server |
风险等级 | |||
奇安信CERT风险评级 | 风险等级 | ||
高危 | 蓝色(一般事件) | ||
现时威胁状态 | |||
POC状态 | EXP状态 | 在野利用状态 | 技术细节状态 |
未发现 | 未发现 | 已发现 | 未公开 |
漏洞描述 | Oracle WebLogic Server中存在远程代码执行漏洞,该漏洞允许未经身份验证的远程攻击者通过T3/IIOP协议网络访问并破坏易受攻击的WebLogic服务器,成功利用此漏洞可能导致Oracle WebLogic服务器被接管或敏感信息泄露。 | ||
影响版本 | Oracle WebLogic Server 12.2.1.3.0 Oracle WebLogic Server 12.2.1.4.0 Oracle WebLogic Server 14.1.1.0.0 | ||
其他受影响组件 | 无 | ||
目前,奇安信CERT已成功复现Oracle WebLogic Server 远程代码执行漏洞(CVE-2023-21839),截图如下:
漏洞名称 | Oracle WebLogic Server远程代码执行漏洞 | |||
CVE编号 | CVE-2023-21839 | 其他编号 | QVD-2023-2423 | |
CVSS 3.1评级 | 高危 | CVSS 3.1分数 | 8.6 | |
CVSS向量 | 访问途径(AV) | 攻击复杂度(AC) | ||
网络 | 低 | |||
所需权限(PR) | 用户交互(UI) | |||
无 | 不需要 | |||
影响范围(S) | 机密性影响(C) | |||
不改变 | 高 | |||
完整性影响(I) | 可用性影响(A) | |||
低 | 低 | |||
危害描述 | 未授权的远程攻击者可通过T3/IIOP协议网络访问并破坏易受攻击的WebLogic服务器,成功利用此漏洞可能导致Oracle WebLogic服务器被接管或敏感信息泄露。 | |||
请参考以下链接尽快修复:
https://www.oracle.com/security-alerts/cpujan2023.html
Oracle WebLogic Server升级方式
bsu.cmd -install -patch_download_dir=C:\Oracle\Middleware\utils\bsu\cache_dir -patchlist=3L3H -prod_dir=C:\Oracle\Middleware\wlserver_10.3C:\Oracle\Middleware\Oracle_Home\OPatch>opatch apply 本机补丁地址注:补丁编号请自行更改为新补丁编号。
若非必须开启,请禁用T3和IIOP协议。
禁用T3、IIOP协议具体操作步骤如下:
127.0.0.1 * * allow t3 t3s本机IP * * allow t3 t3s允许访问的IP * * allow t3 t3s* * * deny t3 t3s
奇安信天眼检测方案
奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.0118.13713或以上版本。规则ID及规则名称:0x5ea7,Weblogic远程代码执行漏洞(CVE-2023-21839)。奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
[1]https://www.oracle.com/security-alerts/cpujan2023.html
2023年1月19日,奇安信 CERT发布安全风险通告。