Weblogic反序列化漏洞——不要慌，请收下这份“逆袭”指南

概述

4月17日，国家信息安全漏洞共享平台（CNVD）公开了Weblogic反序列化远程代码执行漏洞（CNVD-C-2019-48814），距离这个漏洞披露日期已经过去了一周的时间。然而围绕这个漏洞的暗流涌动一直再持续，绿盟科技分析团队通过威胁情报分析得知，在漏洞披露后1日内互联网上就已经出现了针对此漏洞的批量扫描攻击，攻击者的效率可想而知。

当攻击者在加班加点的忙活，不断的开心的收割着暴露在互联网上的存在漏洞的服务器的时候，对于我们网站运营者、关键信息基础设施的运营者来说，就是和时间赛跑，争取在被攻击之前采取防护的手段，避免遭受巨大的损失。

危害

受影响版本

Oracle WebLogic Server 10.*

Oracle WebLogic Server 12.1.3

此漏洞影响启用bea_wls9_async_response组件及wls-wsat组件的所有Weblogic版本。

说到这里我们就需要了解一下，Weblogic反序列化漏洞到底能带来什么危害呢？简单来说通过此漏洞，攻击者可以绕过认证的情况下，直接远程命令执行，获取服务器的控制权限，能够执行任意操作。

网页篡改

攻击者利用Weblogic反序列化漏洞能够对目标服务器网页文件进行编辑篡改，2018 年，CNCERT 监测发现我国境内遭篡改的网站有7,049个，其中被篡改的政府网站有 216 个 从网页遭篡改的方式来看，被植入暗链的网站占全部被篡改网站的比例为 56.9%。且在电子商务、电子政务日益普及的今天，网站已成为企事业单位、政府机关的形象窗口，也是对外开展业务、提供服务的重要手段。如果网站页面被篡改，不仅将影响正常业务的开展，而且会对企业形象、政府信誉带来极其不好的影响。更有甚者，某些不法分子还利用篡改网页这种手段进行欺诈犯罪活动。

数据窃取

数据窃取一直是黑色产业的重点，通过Weblogic反序列化漏洞攻击者能够获取应用服务器的权限，读取服务器配置文件、数据库相关的配置文件等敏感信息，进一步渗透入侵关键数据库或内网核心业务系统，窃取各行业的重要数据，例如商业机密信息等，以及攻击关键信息基础设施，窃取涉及民生相关的敏感数据。

挖矿木马

Weblogic反序列化漏洞攻击成功后攻击者可以上传任意文件，且利用被攻陷的服务器植入挖矿木马进行挖矿是目前比较常见的攻击手段。服务器一旦感染木马，可以将服务器变成矿机，致使机器资源消耗严重，包括CPU、内存的资源消耗，严重影响日常工作运转。也可以在服务器上下载运行勒索病毒，破坏服务器数据。

解决方案

威胁发生前：预警、检查

威胁情报服务：绿盟威胁情报中心自成立以来，担当着驱动安全战略转型的使命，使得被动、静态、基于规则的安全防护，走向主动、动态、自适应的防御体系。NTI基于持续的资产监测能力，将威胁情报与资产准确关联，做到安全威胁事前预测、热点事件实时预警、 情报驱动设备防御、攻击事件溯源分析，助力企业进入智能安全防护时代。

渗透测试：渗透测试的攻击路径及手段不同于常见的安全产品，所以它往往能暴露出一条甚至多条被人们所忽视的威胁路径，在检测是否存在weblogic漏洞的同时，对其他安全风险进行挖掘，从而暴露整个系统或网络的威胁所在。

WVSS、RSAS扫描：使用绿盟Web应用漏洞扫描系统、绿盟远程安全评估系统，采用最新的扫描插件，并全方位检测IT系统存在的脆弱性，发现信息系统存在的安全漏洞、应用系统安全漏洞，形成整体安全风险报告，帮助安全管理人员先于攻击者发现安全问题，及时进行修补。

SaaS服务：用户可以选择使用绿盟云的在线自助检查工具(https://cloud.nsfocus.com/#/secwarning/secwarning_news?menu_id=urgent)了解到自身业务是否受到影响

也可以选择使用绿盟云的网站安全监测服务，由云端安全专家7×24小时对网站漏洞、页面内容安全等进行全方面监测。0day漏洞发生后的第一时间内，云端安全专家完成确认工作，帮助客户加以解决。

?

威胁发生中：修补、升级、封堵

漏洞补丁临时解决方案：官方暂未发布针对此漏洞的修复补丁，在官方修复之前，可配置URL访问控制策略、删除不安全文件、禁用不安全组件，具体细节参考如下链接采取临时防护：参考：【漏洞预警】Weblogic 反序列化远程代码执行漏洞预警通告 。

安全设备规则升级：若已经部署了绿盟科技下一代防火墙、入侵防护系统（IPS）、web应用防火墙（WAF），针对此漏洞，绿盟科技防护产品已发布临时规则升级包，强烈建议相关用户升级规则，形成安全产品防护能力。在官方正式发布安全通告及修复方案后，将发布正式规则升级包。参考：【漏洞预警】Weblogic 反序列化远程代码执行漏洞预警通告。

部署安全防护设备：在已经遭受攻击的情况下，封堵入口是做好安全防护的第一选择，部署下一代防火墙NF、入侵防护系统（IPS）、web应用防火墙（WAF），并升级最新防护规则，保证攻击威胁看得见、检得出、防得住。

使用SaaS服务：客户也可以选择使用云端安全服务，如绿盟网站云防护服务(云WAF)，仅需修改被防护站点的DNS记录即能开启防护。漏洞爆发后云WAF在24小时内上线了此次漏洞专项防护策略，被防护网站不再受到此漏洞的影响。

?

威胁发生后：控制、清除

应急处置：应急响应的目标是，当遭受weblogic漏洞攻击，快速处理安全事件、防范影响扩大。在控制安全事件影响的前提下，找出安全事件发生的原因，防微杜渐。

恶意代码清除：在发生安全事件后，例如网站被入侵，挂马，服务器被非法登录等，往往担心，内部是否有其他服务器、网站、应用系统也同样遭受攻击，是否已经也被入侵？是否存在恶意程序？是否被远程非法控制？当出现类似的苦恼时，恶意代码排查可排忧解难。实施恶意代码排查，我们可以准确发现被恶意程序，将潜伏的病毒、木马、WebShell后门等恶意代码程序发现并清除。保证当前系统不会再存在任何恶意代码程序的隐患。

	请点击屏幕右上方“…” 关注绿盟科技公众号NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP