破绽简介
Oracle WebLogic Server是一个对立的可扩大平台,用于在本地和云端开发、部署和运行企业应用程序,例如 Java。WebLogic Server提供了Java Enterprise Edition (EE)和Jakarta EE的牢靠、成熟和可扩大的实现。
WebLogic是美商Oracle的次要产品之一,是商业市场上次要的Java利用服务器软件之一,是世界上第一个胜利商业化的J2EE应用服务器,目前已推出到14c版。而此产品也延长出WebLogic Portal, WebLogic Integration等企业用的中间件,以及OEPE开发工具。
近日,Oracle WebLogic Server被检测到近程代码执行破绽(CVE-2023-21839),该破绽容许未经身份验证的近程攻击者通过T3/IIOP协定网络拜访并毁坏WebLogic服务器,胜利利用此破绽可导致要害数据的未受权拜访或间接获取WebLogic服务器权限。
影响版本
WebLogic_Server = 12.2.1.3.0
WebLogic_Server = 12.2.1.4.0
WebLogic_Server = 14.1.1.0.0
修复计划
更新Oracle WebLogic Server官网最新补丁:https://www.oracle.com/security-alerts/cpujan2023.html
环境搭建
- 下载地址:https://www.oracle.com/middleware/technologies/weblogic-serve...(依据官网装置阐明装置即可)
- https://github.com/vulhub/vulhub一键搭建
破绽复现
应用以下工具进行复现
- https://github.com/4ra1n/CVE-2023-21839
- https://github.com/WhiteHSBG/JNDIExploit
发动攻打申请:新建/tmp/1.txt文件
新建胜利
开启rasp后发动攻打:申请被拦挡
堆栈信息为:
破绽剖析
在../wlserver/server/lib下执行java -jar wljarbuilder.jar生成wlfullclient.jar
OpaqueReference接口的对象从 WLContext 中检索时,由 getReferent() 返回对象
当近程对象继承自OpaqueReference时,客户端在对该对象进行JNDI查找并获取的时候,服务器端实际上是通过调用近程对象的getReferent()办法来获取该对象的理论援用。因为ForeignOpaqueReference继承OpaqueReference,所以在近程查问该对象的时候,调用的将会是ForeignOpaqueReference.getReferent办法
在后续的进行lookup操作之前会查看 JNDI 环境是否已正确配置后拜访近程资源,次要是对jndiEnvironment和remoteJNDIName进行逻辑判断。
因为this.remoteJNDIName为private类可利用反射来赋值
而this.jndiEnvironment只有不空,就能对InitialContext进行初始化,所以this.jndiEnvironment也能够应用反射的形式进行赋值。将jndiEnvironment和remoteJNDIName批改为期望值即可实现攻打。
之后即可通过retVal=context.lookup(evalMacros(this.remoteJNDIName))的实现jndi注入攻打。
因为rasp探针hook了javax.naming.InitialContext.lookup的办法,当进行lookup查找jndi地址时便会间接触发拦挡。
云鲨计划
应用云鲨RASP,无需额定配置规定,即可实现对该破绽的天然免疫防护。
Refrence
https://xz.aliyun.com/t/12297https://github.com/4ra1n/CVE-202...
https://docs.oracle.com/html/E80373_03/weblogic/jndi/OpaqueRe...
https://www.anquanke.com/post/id/287753
对于云鲨RASP
悬镜云鲨RASP助力企业构建利用平安爱护体系、搭建利用平安研运闭环,将踊跃防御能力注入业务利用中,实现利用平安自免疫。详情欢送拜访云鲨RASP官网https://rasp.xmirror.cn/