新闻中心
- 分类:新闻中心
- 作者:
- 来源:
- 发布时间:2023-04-23 15:38
- 访问量:
【概要描述】2023年4月19日,Oracle官方发布了最新的安全补丁, 修复了多个WebLogic组件漏洞,包括CVE-2023-21931、CVE-2023-21979、CVE-2023-21964、CVE-2023-21960等。网御北冥数据实验室在第一时间对Oracle官方发布的安全公告进行分析研判,结合网御盘古平台(THPangu-OS)的底座能力,为广大用户给出应急处置指引方案。
【概要描述】2023年4月19日,Oracle官方发布了最新的安全补丁, 修复了多个WebLogic组件漏洞,包括CVE-2023-21931、CVE-2023-21979、CVE-2023-21964、CVE-2023-21960等。网御北冥数据实验室在第一时间对Oracle官方发布的安全公告进行分析研判,结合网御盘古平台(THPangu-OS)的底座能力,为广大用户给出应急处置指引方案。
- 分类:新闻中心
- 作者:
- 来源:
- 发布时间:2023-04-23 15:38
- 访问量:
2023年4月19日,Oracle官方发布了最新的安全补丁, 修复了多个WebLogic组件漏洞,包括CVE-2023-21931、CVE-2023-21979、CVE-2023-21964、CVE-2023-21960等。网御北冥数据实验室在第一时间对Oracle官方发布的安全公告进行分析研判,结合网御盘古平台(THPangu-OS)的底座能力,为广大用户给出应急处置指引方案。
由于漏洞编号为CVE-2023-21931的POC已公开,网御星云北冥数据实验室以该漏洞为例进行了细致分析,该漏洞源于WebLogic中WLNamingManager 类的getObjectInstance()方法存在缺陷,在默认配置下,未经身份验证的远程攻击者通过T3/IIOP传入特定对象,最终可实现在目标系统上执行任意代码。目前该漏洞的betway88w彩票游戏细节已被公开披露,请受影响的用户尽快采取措施进行防护。
漏洞复现
根据漏洞原理,构造漏洞利用触发链条,触发JNDI远程注入实现命令执行。
修复建议
1.升级补丁
https://www.oracle.com/security-alerts/cpuapr2023.html
2.升级jdk版本
高于JDK 6u211、7u201、8u191等版本。
3.控制T3协议和IIOP协议的访问
(1)关闭t3协议
·进入WebLogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。
·在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s协议的所有端口只允许本地访问)。
·保存后需重新启动,规则方可生效。
(2)关闭iiop协议
进入WebLogic控制台,通过“环境->服务器->AdminServer (管理)”进入以下界面,取消勾选”启用IIOP”。重启服务器后生效。
网御星云解决方案
建议一:基于漏洞扫描产品尽快对资产进行漏洞评估
1.网御星云漏洞扫描系统V6.0产品
网御星云漏洞扫描系统V6.0产品已紧急发布针对该漏洞的升级包,支持对该漏洞进行非授权扫描,用户升级标准漏洞库后即可对该漏洞进行扫描:
6070版本升级包为607000497,升级包下载地址:
https://leadsec.download.venuscloud.cn/
升级后已支持该漏洞
2.网御星云飞腾漏洞扫描系统6080版本
网御星云飞腾漏洞扫描系统6080版本已紧急发布针对该漏洞的升级包,支持对该漏洞进行非授权扫描,用户升级标准漏洞库后即可对该漏洞进行扫描:
6080版本升级包为主机插件包608000054-S608000055.svs漏扫插件包下载地址:
https://leadsec.download.venuscloud.cn/
升级后已支持该漏洞
漏扫基线核查
通过网御星云漏洞扫描系统-配置核查模块对该漏洞影响的 Oracle WebLogic Server 版本进行获取,使用智能化分析研判机制验证该漏洞是否存在,如果存在该漏洞可通过禁用T3协议、IIOP协议进行临时缓解。如下图所示:
基线核查已支持Weblogic Server远程代码执行漏洞检查项
请使用网御星云漏洞扫描系统V6.0产品的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。
建议二:网御星云资产与脆弱性管理平台(ASM)排查受影响资产
网御星云资产与脆弱性管理平台实时采集并更新情报信息,对入库资产漏洞WebLogic Server远程代码执行漏洞(CVE-2023-21931)进行管理,如下图所示:
情报管理模块已入库的Weblogic Server远程代码执行漏洞
资产与脆弱性管理平台根据情报信息更新的漏洞受影响实体规则以及现场资产管理实例的版本信息进行自动化碰撞,可第一时间命中受该漏洞影响的资产,如下图所示:
情报命中的资产信息
建议三:基于安全管理和平台进行关联分析
广大用户可以通过网御星管理和平台,进行关联策略配置,结合实际环境中系统日志和安全设备的告警信息进行持续监控,从而发现“Oracle WebLogic远程代码执行”的漏洞利用攻击行为。
(1)在平台中,通过脆弱性发现功能针对“Oracle WebLogic远程代码执行(CVE-2023-21931)”执行漏洞扫描任务,排查管理网络中受此漏洞影响的重要资产;
(2)平台“关联分析”模块中,添加“L2_Oracle_WebLogic远程代码执行漏洞利用”,通过网御星云检测设备、目标主机系统等设备的告警日志,发现外部攻击行为:
通过分析规则自动将WebLogic Server远程代码执行漏洞利用的可疑行为源地址添加到观察列表“高风险连接”中,作为内部情报数据使用;
(3)添加“L3_Oracle_WebLogic远程代码执行漏洞利用成功”,条件日志名称等于“L2_Oracle_WebLogic远程代码执行漏洞利用”,攻击结果等于“攻击成功”,目的地址引用资产漏洞或源地址匹配威胁情报,从而提升关联规则的置信度。
建议四:ATT&CK攻击链条分析与SOAR处置建议
1.ATT&CK攻击链分析
根据对CVE-2023-21931漏洞的攻击利用过程进行分析,攻击链涉及多个ATT&CK战术和betway88w彩票游戏阶段,覆盖的TTP包括:
TA0008横向移动:T1210远程服务利用
TA0002执行: T1059命令和脚本执行
2.处置方案建议和SOAR剧本编排
通过网御星管理和平台内置SOAR自动化或半自动化编排联动响应处置能力,针对该漏洞利用的告警事件编排剧本,进行自动化处置。
关于我们
网御星云北冥数据实验室始终秉持以需求为导向、知识赋能产品的核心理念,专注于提供网络空间安全的基础知识研究和开发,制定结合威胁和漏洞情报、网络空间资产和监测数据等综合情报以及用户实际场景的安全分析防护策略,构建自动化调查和处置响应措施,形成场景化、结构化的知识工程体系,对各类安全产品、平台和提供知识赋能。
扫二维码用手机看
betway88w彩票游戏网御星云信息betway88w彩票游戏有限公司