0x00 漏洞概述

本月早些时候，Oracle为其WebLogic服务器的一个严重漏洞打上了补丁。前些日子，Oracle刚刚发布了最近一个季度的补丁，整整254个，它们以Java和Spectre补丁为主，这个安全漏洞当时得到了修复。

安全研究人员表示WebLogic补丁可以被人绕过，并发布了概念证明代码。

0x01 漏洞影响面

影响版本：

Weblogic 10.3.6.0

Weblogic 12.1.3.0

Weblogic 12.2.1.2

Weblogic 12.2.1.3

0x02 漏洞详情

一

周末，帐号为@pyn3rd的用户发推文称，“2018.4的关键补丁更新版可以轻松绕过”，同时还发布了概念证明（PoC）。

#CVE-2018-2628  Weblogic服务器反序列化远程命令执行。不幸的是，2018.4的重要补丁更新版可以轻松绕过。

不同的是，它是使用<java.rmi.activation.Activator>　取代<java.rmi.registry.Registry>。看起来Oracle甚至没有解决这个问题，它只是将一些命令列入黑名单。这种情况下，它并没有注意到下一个命令。

二

该漏洞为Oracle融合中间件（子组件：WLS核心组件）的Oracle WebLogic Server组件中的漏洞。

易受攻击的weblogic服务允许未经身份验证的攻击者通过T3网络访问及破坏Oracle WebLogic Server。此漏洞的成功攻击可能导致攻击者接管Oracle WebLogic Server，造成远程代码执行。

目前相关PoC已经公开，漏洞验证如下图：

影响范围：

通过QUAKE资产系统检索，全球范围内暴露在互联网上的weblogic服务多达11125台，中国区有2690台。

0x03 修复建议

Oracle今天发布的安全补丁中，修复了该漏洞，强烈建议受影响的用户尽快升级更新。

用户使用正版软件许可账号，可在https://support.oracle.com 处下载Oracle官方补丁。

0x04 时间线

2018-04-18 Oracle 发布季度安全更新，其中包含 cve-2018-2628

2018-04-18 360-CERT 对更新进行研判，发布预警

0x05 参考链接

1. Oracle 4月安全更新公告

原文：https://www.anquanke.com/post/id/105265