版权声明:JTVDdTRlMGQlNUN1ODk4MSU1Q3U2NDFlJTVDdTRlOGIlNUN1NjBjNSU1Q3UzMDAy https://blog.csdn.net/Jiajiajiang_/article/details/83686455
通过该漏洞攻击者可以在未授权的情况下远程执行代码,该漏洞主要利用spring JDNI反序列化注入实现远程命令执行。攻击者可以在未授权的情况下将payload封装在T3协议中,通过T3协议中的Payload进行反序列化,从而实现对存在漏洞的weblogic组件进行远程攻击,执行任意代码并可获取目标系统的所有权限。
受影响版本
WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3
检测
检查Weblogic的版本号是否为受影响版本
检查是否开启了WebLogic的T3服务
这一步可以进行nmap扫描,直接扫描T3协议是否开启
nmap -n -v -Pn –sV [主机或网段地址] -p7001,7002 --script=weblogic-t3-info.nse
漏洞poc在github上可以搜索到
解决方案
1、过滤T3协议
2、设置Nignx反向代理
3、升级到最新的JDK
JEP290(JDK8u121,7u131,6u141)