Weblogic多个高危漏洞安全预警与建议

近日，Oracle官方发布了7月份的关键补丁,其中包含多个高危的Weblogic组件漏洞，包括： CVE-2021-2397、CVE-2021-2376、CVE-2021-2378、CVE-2021-2382、CVE-2021-2403、CVE-2021-2394，攻击者可能利用此些漏洞获取WebLogic服务器权限。鉴于漏洞危害较高，建议受影响的用户尽快更新官方发布的安全补丁。

【漏洞描述】

其中定为严重CVE-2021-2397、CVE-2021-2382、CVE-2021-2394，攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞的Oracle WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管Oracle WebLogic Server。

【漏洞影响版本】

CVE-2021-2397、CVE-2021-2382、CVE-2021-2394漏洞影响版本：

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

以上均为官方支持的版本

【修复方案】

Oracle官方已经在2021年7月关键补丁更新中修复了该漏洞，强烈建议受影响的用户尽快升级更新进行防护。

注：Oracle官方补丁需要用户持有正版软件的许可账号，使用该账号登陆https://support.oracle.com后，可以下载最新补丁。

相关链接：

https://www.oracle.com/security-alerts/cpujul2021.html 

临时解决方案：

临时修复建议存在一定风险，建议用户根据业务系统实际情况评估后选择采用临时修复方案。

一、禁用T3协议

漏洞产生于WebLogic的T3服务，因此可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。当开放WebLogic控制台端口（默认为7001端口）时，T3服务会默认开启。

具体操作：

（1）进入WebLogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

（2）在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则中输入：127.0.0.1 * * allow t3 t3s，0.0.0.0/0 * * deny t3 t3s（t3和t3s协议的所有端口只允许本地访问）。

（3）保存后需重新启动，规则方可生效。

二、禁用IIOP协议

用户可通过关闭IIOP协议阻断针对利用IIOP协议漏洞的攻击，操作如下：

在Weblogic控制台中base_domain配置页面，依次点击“环境”-“服务器”，在服务器配置页面中选择对应的服务器后，切换到“协议”-“IIOP”选项卡，取消勾选“启用 IIOP”，并重启Weblogic项目生效。

三、临时关闭后台

可临时关闭后台/console/console.portal、/console/consolejndi.portal对外访问。