預警| WebLogic Server再曝高風險遠程命令執行0day漏洞，阿里雲WAF支持免費應急服務

6月11日，阿里雲安全團隊發現WebLogic CVE-2019-2725補丁繞過的0day漏洞，並第一時間上報Oracle官方， 6月12日得到Oracle官方確認。因爲Oracle還沒有發佈官方補丁，漏洞細節和真實PoC也未公開，爲保障客戶的安全性，阿里雲Web應用防火牆（WAF）緊急更新規則，已實現對該漏洞的默認防護。

1、漏洞簡介

WebLogic Server是美國甲骨文（Oracle）公司開發的一款適用於雲環境和傳統環境的應用服務中間件，被普遍應用於保險、證券、銀行等金融領域。

這次發現的WebLogic CVE-2019-2725補丁繞過的0day漏洞曾經由於使用HTTP協議，而非T3協議，被黑客利用進行大規模的挖礦等行爲。WebLogic 10.X和WebLogic 12.1.3兩個版本均受到影響。

鑑於該漏洞的高危嚴重性，阿里雲提醒雲上客戶高度關注自身業務是否使用WebLogic，是否開放了/_async/ 及 /wls-wsat/的訪問路徑。另外因爲公安部護網期間，請護網客戶重點關注。

2、WebLogic Server漏洞發現

阿里雲安全團隊使用Oracle官方JDK8u211版本，並打了其在4月份提供的CVE-2019-2725的補丁，進行測試，發現了該漏洞的存在。因爲WebLogic Server的普遍應用，可見該漏洞影響之大。

漏洞攻擊演示

該漏洞利用JDK1.7及以上版本的JDK特性繞過了CVE－2019-2725補丁裏對XMLDecoder標籤的限制，如下是CVE-2019-2725的補丁針對class標籤的過濾

3、安全建議

因爲Oracle官方暫未發佈補丁，阿里雲安全團隊給出以下解決方案：

1.請使用WebLogic Server構建網站的信息系統運營者進行自查，發現存在漏洞後，當即刪除受影響的兩個war包，並重啓WebLogic服務；
2.由於受影響的兩個war包覆蓋的路由較多，以下圖所示，因此建議經過策略禁止 /_async/ 及 /wls-wsat/ 路徑的URL訪問；

wls-wsat.war的路由

bea_wls9_async_response.war的路由

3.接入阿里雲WAF，對接入網站進行該漏洞的默認防禦，避免形成更大的損失。若您監測到該漏洞，能夠掃描下方二維碼，加入應急支持羣，咱們將爲您提供24小時免費應急服務，爲您進行漏洞處置爭取時間。