6月11日，阿里雲安全團隊發現WebLogic CVE-2019-2725補丁繞過的0day漏洞，並第一時間上報Oracle官方， 6月12日獲得Oracle官方確認。由於Oracle尚未釋出官方補丁，漏洞細節和真實PoC也未公開，為保障客戶的安全性，阿里雲Web應用防火牆（WAF）緊急更新規則，已實現對該漏洞的預設防禦。

一、漏洞簡介

WebLogic Server是美國甲骨文（Oracle）公司開發的一款適用於雲環境和傳統環境的應用服務中介軟體，被廣泛應用於保險、證券、銀行等金融領域。

此次發現的WebLogic CVE-2019-2725補丁繞過的0day漏洞曾經因為使用HTTP協議，而非T3協議，被黑客利用進行大規模的挖礦等行為。WebLogic 10.X和WebLogic 12.1.3兩個版本均受到影響。

鑑於該漏洞的高危嚴重性，阿里雲提醒雲上客戶高度關注自身業務是否使用WebLogic，是否開放了/_async/ 及 /wls-wsat/的訪問路徑。另外由於公安部護網期間，請護網客戶重點關注。

二、WebLogic Server漏洞發現

阿里雲安全團隊使用Oracle官方JDK8u211版本，並打了其在4月份提供的CVE-2019-2725的補丁，進行測試，發現了該漏洞的存在。由於WebLogic Server的廣泛應用，可見該漏洞影響之大。

漏洞攻擊演示

該漏洞利用JDK1.7及以上版本的JDK特性繞過了CVE－2019-2725補丁裡對XMLDecoder標籤的限制，以下是CVE-2019-2725的補丁針對class標籤的過濾

三、安全建議

由於Oracle官方暫未釋出補丁，阿里雲安全團隊給出如下解決方案：

1.請使用WebLogic Server構建網站的資訊系統運營者進行自查，發現存在漏洞後，立即刪除受影響的兩個war包，並重啟WebLogic服務；
2.因為受影響的兩個war包覆蓋的路由較多，如下圖所示，所以建議通過策略禁止 /_async/ 及 /wls-wsat/ 路徑的URL訪問；

wls-wsat.war的路由

bea_wls9_async_response.war的路由

3.接入阿里雲WAF，對接入網站進行該漏洞的預設防護，避免造成更大的損失。
若您監測到該漏洞，可以掃描下方二維碼，加入應急支援群，我們將為您提供24小時免費應急服務，為您進行漏洞處置爭取時間。

原文連結
本文為雲棲社群原創內容，未經