破绽简介
Oracle WebLogic Server 是一个对立的可扩大平台,用于在本地和云端开发、部署和运行企业应用程序,例如 Java。WebLogic Server 提供了 Java Enterprise Edition (EE)和 Jakarta EE 的牢靠、成熟和可扩大的实现。
WebLogic 是美商 Oracle 的次要产品之一,是商业市场上次要的 Java 利用服务器软件之一,是世界上第一个胜利商业化的 J2EE 应用服务器,目前已推出到 14c 版。而此产品也延长出 WebLogic Portal, WebLogic Integration 等企业用的中间件,以及 OEPE 开发工具。
近日,Oracle WebLogic Server 被检测到近程代码执行破绽(CVE-2023-21839),该破绽容许未经身份验证的近程攻击者通过 T3/IIOP 协定网络拜访并毁坏 WebLogic 服务器,胜利利用此破绽可导致要害数据的未受权拜访或间接获取 WebLogic 服务器权限。
影响版本
WebLogic_Server = 12.2.1.3.0
WebLogic_Server = 12.2.1.4.0
WebLogic_Server = 14.1.1.0.0
修复计划
更新 Oracle WebLogic Server 官网最新补丁:https://www.oracle.com/security-alerts/cpujan2023.html
环境搭建
- 下载地址:https://www.oracle.com/middleware/technologies/weblogic-serve…(依据官网装置阐明装置即可)
- https://github.com/vulhub/vulhub 一键搭建
破绽复现
应用以下工具进行复现
- https://github.com/4ra1n/CVE-2023-21839
- https://github.com/WhiteHSBG/JNDIExploit
发动攻打申请:新建 /tmp/1.txt 文件
新建胜利
开启 rasp 后发动攻打:申请被拦挡
堆栈信息为:
破绽剖析
在../wlserver/server/lib 下执行 java -jar wljarbuilder.jar 生成 wlfullclient.jar
OpaqueReference 接口的对象从 WLContext 中检索时,由 getReferent() 返回对象
当近程对象继承自 OpaqueReference 时,客户端在对该对象进行 JNDI 查找并获取的时候,服务器端实际上是通过调用近程对象的 getReferent()办法来获取该对象的理论援用。因为 ForeignOpaqueReference 继承 OpaqueReference,所以在近程查问该对象的时候,调用的将会是 ForeignOpaqueReference.getReferent 办法
在后续的进行 lookup 操作之前会查看 JNDI 环境是否已正确配置后拜访近程资源,次要是对 jndiEnvironment 和 remoteJNDIName 进行逻辑判断。
因为 this.remoteJNDIName 为 private 类可利用反射来赋值
而 this.jndiEnvironment 只有不空,就能对 InitialContext 进行初始化,所以 this.jndiEnvironment 也能够应用反射的形式进行赋值。将 jndiEnvironment 和 remoteJNDIName 批改为期望值即可实现攻打。
之后即可通过 retVal=context.lookup(evalMacros(this.remoteJNDIName))的实现 jndi 注入攻打。
因为 rasp 探针 hook 了 javax.naming.InitialContext.lookup 的办法,当进行 lookup 查找 jndi 地址时便会间接触发拦挡。
云鲨计划
应用云鲨 RASP,无需额定配置规定,即可实现对该破绽的天然免疫防护。
Refrence
https://xz.aliyun.com/t/12297https://github.com/4ra1n/CVE-202…
https://docs.oracle.com/html/E80373_03/weblogic/jndi/OpaqueRe…
https://www.anquanke.com/post/id/287753
对于云鲨 RASP
悬镜云鲨 RASP 助力企业构建利用平安爱护体系、搭建利用平安研运闭环,将踊跃防御能力注入业务利用中,实现利用平安自免疫。详情欢送拜访云鲨 RASP 官网 https://rasp.xmirror.cn/