近日,Oracle官方 发布了 2022 年 7 月份的安全更新。涉及旗下产品(Weblogic Server、Databa se Server、Java SE、MySQL等)的 349 个漏洞。此次修复的漏洞中包括 16 个和 Weblogic 相关的漏洞,其中的 13 个漏洞无需身份验证和用户交互即可通过网络进行远程利用。
漏洞描述
CVE-2022-23457 - OWASP ESAPI 路径遍历漏洞
由于在Oracle WebLogic Server中引用了第三方应用“OWASP Enterprise Security API”,ESAPI(OWASP Enterprise Security API)是一个免费的开源Web应用程序安全控制库。在版本 2.3.0.0 之前,“Validator.getValidDirectoryPath(String, String, File, boolean)”的默认实现可能会错误地将测试的输入字符串视为指定父目录的子级。如果攻击可以指定表示“输入”路径的整个字符串,则可能会使控制流旁路检查被击败。未经身份验证的攻击者通过HTTP协议向受影响的服务器发送恶意的请求,最终导致在目标服务器上执行任意代码。
CVSS3.1 评分:9.8 可利用性:极有可能被利用
CVE-2021-23450 - Dojo 安全漏洞
由于在Oracle WebLogic Server中引用了第三方应用“Dojo”,该漏洞源于软件容易通过setob ject函数受到Prototype污染的影响,未经身份验证的攻击者通过HTTP协议向受影响的服务器发送恶意的请求,最终导致在目标服务器上执行任意代码。
CVSS3.1 评分:9.8 可利用性:极有可能被利用
CVE-2022-22965 - Spring fr amework 代码注入漏洞
由于在Oracle WebLogic Server中引用了第三方框架“Spring fr amework”,在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定进行远程执行代码 (RCE) 的攻击。特定的漏洞利用要求应用程序作为 WAR 部署在 Tomcat 上运行。如果应用程序部署为Spring Boot可执行jar,即默认的,则它不容易受到攻击。
CVSS3.1 评分:9.8 可利用性:极有可能被利用
FOFA 查询
app="BEA-WebLogic-Server" || app="Weblogic_interface_7001"
影响范围
CVE-2022-23457
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
CVE-2021-23450
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
CVE-2022-22965
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="BEA-WebLogic-Server" || app="Weblogic_interface_7001")共有 110,049 个相关服务对外开放。美国使用数量最多,共有 30,262 个;中国第二,共有 19,463 个;日本第三,共有 5,121 个;印度第四,共有 4,239 个;德国第五,共有 4,213 个。
中国大陆地区北京使用数量最多,共有 3,943 个;山东第二,共有 1,052 个;广东第三,共有 860 个;上海第四,共有 833 个;四川第五,共有 727 个。
修复方案
通用修补建议
参考Oracle官方更新的补丁,及时进行更新:https://www.oracle.com/security-alerts/cpujul2022.html
参考
[1] https://www.oracle.com/security-alerts/cpujul2022.html
白帽汇安全研究院从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。