一、 漏洞概述
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
WebLogic 存在远程代码执行漏洞(CVE-2023-21931),该漏洞允许未经身份验证的攻击者通过T3、IIOP协议网络访问并破坏易受攻击的WebLogic Server,成功的漏洞利用可导致WebLogic Server被攻击者接管,从而造成远程代码执行。
二、 影响范围
本次漏洞影响范围如下:
| 12.2.1.2.0 12.2.1.1.0 12.2.1.3.0 12.2.1.0.0 12.2.1.4.0 14.1.1.0.0 12.1.2.0.0 12.1.3.0.0 10.3.6.0 |
|---|
FOFA Query:
| app="BEA-WebLogic-Server" || app="Weblogic_interface_7001" |
|---|
根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="BEA-WebLogic-Server"||app="Weblogic_interface_7001")共有 127,158 个相关服务对外开放。中国使用数量最多,共有50,471 个;美国第二,共有 26,247 个;日本第三,共有4,103 个;印度第四,共有 3,684 个;德国第五,共有3,663 个。
全球范围内分布情况如下(仅为分布情况,非漏洞影响情况):
中国大陆地区北京使用数量最多,共有10,372个;浙江第二,共有7,364个;上海第三,共有4,891个;广东第四,共有3,993个;山东第五,共有2,703个。
三、 漏洞复现
白帽汇安全研究院于第一时间复现了该漏洞:
四、 Vulfocus
Vulfocus 已经集成该漏洞环境可通过以下环境使用:
| docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.2.1.2.0-jdk-release docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.2.1.1.0-jdk-release docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.2.1.3.0-jdk-release docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.2.1.4.0-jdk-release docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.2.1.0.0-jdk-release docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:14.1.1.0.0-jdk-release docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.1.2.0.0-jdk-release docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.1.3.0.0-jdk-release docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:10.3.6.0-jdk-release |
|---|
五、 修复建议
参考Oracle官方更新的补丁,及时进行更新:https://www.oracle.com/security-alerts/cpuapr2023.html
六、 参考链接
[1] https://www.oracle.com/security-alerts/cpuapr2023.html