漏洞描述:
Oracle发布2021年首个重要补丁更新包,本次更新含Oracle产品系列中的329个新安全补丁。自2020年10月重要补丁更新发布以来,Oracle已发布Oracle WebLogic Server安全警报:CVE-2020-14750(2020年11月1日)。强烈建议客户应用此重要补丁更新,其中包括此警报的补丁以及其他补丁。Oracle每季度发布一次重要更新,接下来的4个补丁发布日期为:2021年4月20日、2021年7月20日、2021年10月19日、2022年1月18日。
编号为CVE-2021-2109的Weblogic JNDI注入远程命令执行漏洞,值得各方高度关注。该漏洞风险为“高”,影响版本:Weblogic Server 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0。
针对weblogic漏洞的利用代码(POC)已在互联网上公开,腾讯安全专家建议用户尽快修补。Weblogic相关漏洞,是网络黑产最热衷使用的攻击武器之一,大量网站曾因此组件存在漏洞被入侵、控制、植入挖矿木马和勒索病毒。
WebLogic是美国Oracle公司的主要产品之一,是商业市场上主要的 J2EE 应用服务器软件,也是世界上第一个成功商业化的J2EE应用服务器,在 Java 应用服务器中有非常广泛的部署和应用。
本次Oracle季度安全更新公告的存在漏洞的组件包括:
|
组件名 |
补丁个数 |
无须身份验证即可远程利用的个数 |
|
Oracle Database Server(数据库服务组件) |
8 |
1 |
|
Oracle Communications Applications(通信应用程序组件) |
8 |
6 |
|
Oracle Communications(通信组件) |
12 |
7 |
|
Oracle Construction and Engineering(建设与工程组件) |
7 |
5 |
|
Oracle E-Business Suite(电子商务套件) |
31 |
29 |
|
Oracle Enterprise Manager(企业管理组件) |
8 |
8 |
|
Oracle Financial Services(金融服务组件) |
50 |
41 |
|
Oracle餐饮应用程序 |
2 |
2 |
|
Oracle Fusion Middleware(融合中间件) |
60 |
47 |
|
Oracle GraalVM组件 |
2 |
2 |
|
Oracle Health Sciences组件 |
5 |
3 |
|
Oracle Hyperion组件 |
7 |
5 |
|
Oracle Insurance Applications(保险应用组件) |
3 |
1 |
|
Oracle Java SE组件 |
1 |
1 |
|
Oracle JD Edwards组件 |
5 |
5 |
|
Oracle MySQL |
43 |
5 |
|
Oracle PeopleSoft组件 |
8 |
6 |
|
Oracle Retail Applications (零售应用程序) |
32 |
20 |
|
Oracle Siebel CRM |
4 |
1 |
|
Oracle Supply Chain (供应链) |
11 |
11 |
|
Oracle Systems组件 |
4 |
3 |
|
Oracle Utilities Applications(实用应用程序) |
1 |
1 |
|
Oracle Virtualization (虚拟化组件) |
17 |
0 |
网络空间测绘:
腾讯安全网络空间测绘结果显示,weblogic在全球有广泛的应用,美国占比最高(27.5%),美国、日本、爱尔兰位居全球前三。在中国大陆地区,北京、上海、广东居前三位,总占比超过80%。
腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 es@tencent.com 了解产品详情。
漏洞复现与验证:
腾讯安全专家对WebLogic远程代码执行漏洞(CVE-2021-2109)做了复现验证: