专栏名称: 微步在线研究响应中心
微步情报局最新威胁事件分析、漏洞分析、安全研究成果共享,探究网络攻击的真相
目录
相关文章推荐
于小戈  ·  真相大白 他俩分了?! ·  6 小时前  
于小戈  ·  惊爆新嫂子!我要哭了... ·  7 小时前  
莓辣MAYLOVE  ·  2.21 中年女性用不同的跑步方式,能量消耗不同 ·  昨天  
莓辣MAYLOVE  ·  在莓辣工作,让我们骄傲的不仅是大方谈性!|莓 ... ·  昨天  
郑州晚报  ·  受天气影响 河南省内11条高速部分路段禁止上站 ·  昨天  
51好读  ›  专栏  ›  微步在线研究响应中心

捕获在野利用!Weblogic RCE 数月前已支持检测

微步在线研究响应中心  · 公众号  ·  · 2024-10-16 12:52

正文


漏洞概况


WebLogic Server 是由 Oracle 公司开发的一款领先的 Java EE(现为 Jakarta EE)应用服务器。它提供了一个可靠、安全、可扩展的平台,用于开发、部署和管理企业级 Java 应用程序,包括 Web 应用程序、企业 JavaBeans (EJB) 和 Web 服务。

微步于2024年4月通过 “X漏洞奖励计划” 获取到Weblogic Server远程代码执行漏洞(https://x.threatbook.com/v5/vul/XVE-2024-4789) ,微步威胁感知平台TDP与威胁防御系统OneSIG已于2024年4月支持检测与拦截,并在7月捕获到该漏洞利用行为。

该漏洞利用方式较为简单,攻击者在未授权条件下,利用 T3、IIOP协议反序列化,实现远程代码执行,获取服务器权限(无需出网)。 该漏洞已被Oracle官方修复,CVE编号为CVE-2024-21216, 建议用户尽快修复


漏洞处置优先级(VPT)


综合处置优先级:

基本信息

微步编号

XVE-2024-4789
漏洞类型
远程代码执行

利用条件评估

利用漏洞的网络条件

远程

是否需要绕过安全机制

不需要

对被攻击系统的要求

默认配置

利用漏洞的权限要求

无需任何权限

是否需要受害者配合

不需要

利用情报

POC是否公开


微步已捕获攻击行为


漏洞影响范围



产品名称

Oracle Weblogic Server

受影响版本

12.2.1.4.0, 14.1.1.0.0

影响范围

万级

有无修复补丁

前往X情报社区资产测绘查看影响资产详情:

https://x.threatbook.com/v5/survey?q=app%3D%22weblogic%22


漏洞复现



修复方案


官方修复方案:

厂商已修复此漏洞,请尽快联系厂商获取补丁包下载更新:

https://www.oracle.com/security-alerts/cpuoct2024.html

临时修复方案:

  • 在不影响业务的情况下,临时禁用IIOP和T3,或针对白名单IP进行开放

  • 如非必要,避免将资产暴露在互联网


微步产品侧支持情况


微步威胁感知平台TDP已支持检测,检测ID为S3100139826、S3100139830、S3100140791,模型/规则高于20240402000000可检出。

微步威胁防御系统OneSIG已支持防护,规则ID为3100139826、3100139830、3100140791。


- END -

//

微步漏洞情报订阅服务







请到「今天看啥」查看全文


推荐文章
于小戈  ·  真相大白 他俩分了?!
6 小时前
于小戈  ·  惊爆新嫂子!我要哭了...
7 小时前
莓辣MAYLOVE  ·  2.21 中年女性用不同的跑步方式,能量消耗不同
昨天
莓辣MAYLOVE  ·  在莓辣工作,让我们骄傲的不仅是大方谈性!|莓辣2025招聘(实习+全职)
昨天
郑州晚报  ·  受天气影响 河南省内11条高速部分路段禁止上站
昨天
咱是闽南人  ·  晋江人都说:媒人嘴,糊睿睿,今天见识了!!!
8 年前
娱乐资本论  ·  【就在明天!】剁椒娱投私密路演|带你探寻文娱创业新方向
7 年前
中国经济学人  ·  我们真正要担心的,不是印度的山地师,而是它颠覆式的经济改革
7 年前
伯乐在线  ·  编程、出书、赛车……DHH 是如何兼顾这一切的?
7 年前
搜狐新闻客户端  ·  说起运动会,首先想起了啦啦队!
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!