一、漏洞概述

WebLogic是美国Oracle公司出品的一个应用服务器，是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 

 

2019年04月17日，国家信息安全漏洞共享平台（CNVD）官方发布安全公告Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞

 

二、影响版本

• Oracle WebLogic Server10.3.6.0.0
• Oracle WebLogic Server12.1.3.0.0
• Oracle WebLogic Server12.2.1.1.0
• Oracle WebLogic Server12.2.1.2.0

三、漏洞利用

2019年04月17日，国家信息安全漏洞共享平台（CNVD）官方发布安全公告 http://www.cnvd.org.cn/webinfo/show/4989称Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞，攻击者可利用该漏洞在未授权的情况下远程执行命令。

随后知道创宇404实验室启动应急流程，通过分析后复现了该漏洞并确定该漏洞影响启用了wls9_async_response.war及wls-wsat.war组件的所有Weblogic版本(包括最新版本)，到本预警发布时，官方仍然没有发布对应修复补丁，属于“0day安全”漏洞。

 

值得注意的是，知道创宇旗下创宇盾监控发现，该漏洞最早在4月17日存在漏洞扫描痕迹，另外从知道创宇ZoomEye网络空间搜索引擎总共检索到100671条历史数据，其中中国30,600条 主要分布在北京、广东、上海等省市。

 

由此知道创宇404实验室发出紧急漏洞预警，建议所有使用Oracle WebLogic的用户引起重视，注意防范。

 

四、修复建议

方案1：找到并删除wls9_async_response.war、wls-wsat.war 并重启Weblogic服务

方案2：通过访问策略控制禁止 /_async/* 及 /wls-wsat/* （注意） 路径的URL访问。

方案3：启用部署“创宇盾”（https://www.yunaq.com/cyd/）