Weblogic反序列化漏洞(CVE-2018-2628),T3协议白名单

本文详细介绍了2018年Oracle Weblogic Server中发现的CVE-2018-2628高危反序列化漏洞,该漏洞允许未授权远程代码执行。文章提供了受影响版本、官方补丁情况及四种应对策略,重点推荐了设置T3协议白名单的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 2018年4月18日凌晨,Oracle官方发布了4月份的关键补丁更新,其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),通过该漏洞,攻击者可以在未授权的情况下远程执行代码。攻击者只需要发送精心构造的T3协议数据,就可以获取目标服务器的权限。  

受影响版本范围:

Oracle WebLogic Server 10.3.6.0

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 12.2.1.2

Oracle WebLogic Server 12.2.1.3

针对此问题,去网上查找了一些资料。做了一些总结和测试,一共有四种解决此漏洞的方法:

1、禁止使用Weblogic的T3协议。(客户需要使用此协议,不可取);

2、升级Oracle官方4月份补丁。(经过测试,打过补丁后,此漏洞依然存在);

3、使用绿盟NIPS,规则库能够阻挡外部攻击。

4、设置T3协议白名单。(对需要使用T3协议的情况下很好使,下面会给出步骤)

测试环境:weblogic10.3.6服务器(windows 2008R2)192.168.125.118

                  攻击机win10    192.168.125.117

使用脚本本地检测,存在web logic2628漏洞(脚本链接:https://github.com/aedoo/CVE-2018-2628-MultiThreading)

同一内网下的win10 检测,同样存在此漏洞

设置T3协议白名单

(1)进入Weblogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。

在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中

输入:ip * * allow t3 (ip为允许的ip)

0.0.0.0/0 * *deny t3 t3s

测试时白名单IP设置的是本地IP

设置完成后,激活更改并重启服务。

此时IP白名单外的机器已经无法检测到此漏洞。

总结:weblogic2628漏洞源于T3协议,如果服务不需要使用T3协议,尽量通过禁用此协议来防止此漏洞。如果需要使用T3协议,目前的解决方法是设置T3协议白名单。

 

### WebLogic CVE-2018-2628 反序列化漏洞概述 WebLogic 是一款广泛使用的应用服务器软件,其核心功能之一是对 Java 对象进行序列化和反序列化操作。然而,在处理某些特定类型的请求时,由于缺乏严格的输入验证机制,可能导致恶意数据被成功解析并执行任意代码。 #### 漏洞原因分析 CVE-2018-2628 的根本原因是 WebLogic Server 中的 T3 协议实现存在缺陷[^1]。T3 是一种专有协议,用于客户端与 WebLogic Server 之间的通信。当攻击者向目标服务器发送特制的数据包时,如果该数据包能够触发不安全的反序列化过程,则可能允许远程代码执行 (RCE)[^2]。具体来说: - 攻击者可以通过构造特殊的对象流来利用此漏洞- 如果未正确过滤传入的对象类型或调用了不可信的方法链,则会引发严重的安全隐患。 #### 复现环境搭建 为了更好地理解这一漏洞的实际影响以及测试防护措施的有效性,通常需要构建实验环境来进行模拟攻击尝试。以下是基于 Docker 构建的一个简单示例[^3]: ```bash git clone https://github.com/cdvulhub/vulhub.git cd vulhub/weblogic/CVE-2018-2628/ docker-compose up -d docker-compose ps ``` 上述脚本将会启动一个带有已知配置错误版本号的服务实例供后续研究使用。 #### 实际攻击演示 一旦确认环境中确实存在易受攻击的目标服务端口开放情况之后, 就可以运行如下命令发起探测: ```python python CVE-2018-2628-MultiThreading.py ``` 假如返回消息显示 `is vul CVE-2018-2628`, 则表明当前主机上部署的应用程序正暴露于潜在威胁之下. #### 修复建议 针对此类高危级别的零日漏洞问题, 推荐采取以下几种方式加以缓解风险: 1. **及时安装官方发布的最新补丁**: Oracle 公司定期发布累积性的安全性更新文件集合(Patch Set Updates), 用户应当尽快下载适用于各自系统的对应修订版并完成升级工作.[^4] 2. **关闭不必要的网络监听组件**: 若业务场景无需依赖 T3/T3s 远程连接支持的话, 考虑将其禁用从而减少遭受外部入侵的可能性. 3. **实施最小权限原则(Minimal Privilege Principle)**: 配置操作系统账户只赋予最低限度所需的访问权能给到应用程序进程本身及其关联资源目录结构下. 通过以上手段综合施策可有效降低系统整体脆弱度水平.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值