腾讯蓝军安全通告：WebLogic远程代码执行漏洞(CVE-2020-14645)

今日，Oracle官方发布WebLogic安全更新，其中修复了一个CVSS评分为9.8的严重漏洞(CVE-2020-14645)，该漏洞通过T3协议进行利用，攻击者可以实现远程代码执行，进而控制服务器。由于漏洞利用复杂度低，风险高，建议尽快修复。

腾讯蓝军（Tencent Force）在测试WebLogic历史漏洞时发现补丁修复不全面，Oracle Coherence存在绕过方式。

影响版本：

Oracle WebLogic Server 12.2.1.4

利用条件：

开放T3协议默认即可被利用

影响数量：

我们使用知道创宇ZoomEye快速检索发现有10万多个WebLogic服务在公网开放（中国约占五分之一），其中有一部分没禁用T3协议，ZoomEye网络空间搜索能力很好的让我们可以快速初步评估受影响量级。

WebLogic是Oracle公司出品的用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器，全球使用广泛。WebLogic的远程方法调用RMI通信使用T3协议，而T3协议与HTTP协议复用7001端口，默认同时开启。我们可以通过Nmap检测自己资产是否有开放T3协议及WebLogic版本信息：

1、安装官方补丁

https://www.oracle.com/security-alerts/cpujul2020.html

2、限制T3访问来源

漏洞产生于WebLogic默认启用的T3协议，因此可通过限制T3访问来源来阻止攻击。

对于利用WebLogic T3协议进行反序列化执行任意代码的问题，Oracle一直采用黑名单进行修复，只能防御已知的反序列化攻击链，而新的反序列化攻击链不断被挖掘出来，黑名单不断被绕过，建议务必限制T3访问来源，减少攻击面。

目前腾讯的流量、主机、扫描器等安全系统已具备检测防护能力。