【安全预警】Weblogic远程命令执行漏洞安全预警与建议

【 漏洞说明】

2019年 4 月 26 日，Oracle 官方发布了 4 月份的关键补丁，其中包含一个高危的WebLogic 反序列化漏洞(CVE-2019-2725)。近日，业内人士监测到绕过该补丁的最新利用代码，经验证情况属实。由于应用在处理反序列化输入信息时存在缺陷，攻击者可以发送精心构造的恶意 HTTP 请求，获得目标服务器的权限，在未授权的情况下远程执行命令。截止目前，该漏洞属于0day，官方尚未发布任何补丁。

【影响范围】 

WebLogic 10.3.6.0

WebLogic 12.1.3

以上均为官方支持的版本

【 缓解措施】

由于该漏洞目前官方未发布正式补丁，建议采取如下临时解决方案：

（1）配置 URL 访问控制策略 

部署于公网的WebLogic服务器，可通过ACL禁止对/_async/*及/wls-wsat/*路径的访问。

（2） 删除不安全文件

存在漏洞的组建wls9_async_response.war及wls-wsat.war属于一级应用包，对其进行移除或更名操作可能造成未知的后果，Oracle 官方不建议对其进行此类操作。若在直接删除此包的情况下应用出现问题，将无法得到Oracle产品部门的技术支持。请用户自行进行影响评估，并对此文件进行备份后，再执行删除操作：

删除wls9_async_response.war与wls-wsat.war文件及相关文件夹，并重启Weblogic服务。具体文件路径如下：

10.3.*版本：

\Middleware\wlserver_10.3\server\lib\

%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

12.1.3 版本：

\Middleware\Oracle_Home\oracle_common\modules\

%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

（3）请密切关注Oracle官方近期发布的补丁通告。