关于Weblogic多个高危漏洞安全预警与建议

1． 概述

近日，Oracle官方发布了1月份的关键补丁,其中包含多个高危的Weblogic组件漏洞，包括： CVE-2019-17195、CVE-2020-14756、CVE-2021-2047、CVE-2021-2064、CVE-2021-2075、CVE-2021-2108、CVE-2021-1994、CVE-2021-2109，攻击者可能利用此些漏洞获取WebLogic服务器权限。鉴于漏洞危害较高，建议受影响的用户尽快更新官方发布的安全补丁。

2． 漏洞说明

CVE-2021-2047、CVE-2021-2075、CVE-2021-2064、CVE-2021-2108、CVE-2020-14756漏洞通过IIOP,T3协议进行网络攻击；CVE-2019-17195漏洞利用WebLogic Core(Connect2id Nimbus JOSE+JWT)组件；CVE-2021-1994漏洞利用Web Services组件；其中CVE-2021-2109漏洞受到高度关注，利用此漏洞通过console组件进行JNDI注入，攻击者可远程获得Oracle WebLogic Server权限，危害较大。

3． 影响范围

CVE-2021-2109漏洞Weblogic影响版本：

WebLogic 10.3.6.0.0

WebLogic 12.1.3.0.0

WebLogic 12.2.1.3.0

WebLogic 12.2.1.4.0

WebLogic 14.1.1.0.0

以上均为官方支持的版本

4． 缓解措施

Oracle官方已经在2021年1月关键补丁更新（CPU）中修复了该漏洞，强烈建议受影响的用户尽快升级更新进行防护。

注：Oracle官方补丁需要用户持有正版软件的许可账号，使用该账号登陆https://support.oracle.com后，可以下载最新补丁。

相关链接：

https://www.oracle.com/security-alerts/cpujan2021.html

【临时解决方案：】

一、禁用T3协议

漏洞产生于WebLogic的T3服务，因此可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。当开放WebLogic控制台端口（默认为7001端口）时，T3服务会默认开启。

具体操作：

（1）进入WebLogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

（2）在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则中输入：127.0.0.1 * * allow t3 t3s，0.0.0.0/0 * * deny t3 t3s（t3和t3s协议的所有端口只允许本地访问）。

（3）保存后需重新启动，规则方可生效。

二、禁用IIOP协议

用户可通过关闭IIOP协议阻断针对利用IIOP协议漏洞的攻击，操作如下：

在Weblogic控制台中base_domain配置页面，依次点击“环境”-“服务器”，在服务器配置页面中选择对应的服务器后，切换到“协议”-“IIOP”选项卡，取消勾选“启用 IIOP”，并重启Weblogic项目生效。

三、临时关闭后台/console/console.portal、/console/consolejndi.portal对外访问

更新信息请随时关注海峡信息安全服务平台http://www.fjssc.cn或微信公众号：