语言
<< 返回文章列表

紧急预警:wls9_async_response.war组件漏洞的延续

2019年6月21日
刘韬
1738



导读:2019 年 6 月 19 日,Oracle 官方正式发出通告,weblogic 存在一个最新的高位漏洞 cve-2019-2729。此漏洞来源于 OracleWebLogicServer 的 WebServices 组件,分值达到 9.8。


1. 问题跟踪



2019 年 6 月 19 日,Oracle 官方正式发出通告,weblogic 存在一个最新的高位漏洞 cve-2019-2729。此漏洞来源于 OracleWebLogicServer 的 WebServices 组件,分值达到 9.8。 (简单说利用反序列化漏洞在不需要用户、密码的情况下远程攻击运行的 weblogicserver)。 其实在6月16日,国内不少安全厂商就已经反馈此漏洞,此漏洞根源在于oraclecve-2019-2725 修复不彻底,应用了 cve-2019-2725 补丁后,仍然被绕过。

建议重点修复那种架构简单,外网直接访问 weblogic 的应用。
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html

重新定义漏洞为 CVE-2019-2729


2. 分析及发现



总的来说就是每一个 weblogicserver 实例都会发布一个内部的异步 webservice 应用 (bea_wls9_async_response.war),该服务处理异步请求响应功能。但可以使用参数禁用它。


2.1 Disabling The Internal Asynchronous Service

By default, every WebLogic Server instance deploys an internal asynchronous Web Service that handes the asynchronous request-response feature. To specify that you do not want to deploy this internal service, start the WebLogic Server instance using the -Dweblogic.wsee.skip.async.response=true Java system property.

One reason for disabling the asynchronous service is if you use a WebLogic Server instance as a Web proxy to a WebLogic cluster. In this case, asynchronous messages will never get to the cluster, as required, because the asynchronous service on the proxy server consumes them instead. For this reason, you must disable the asynchronous service on the proxy server using the system property.

漏洞排查:
http://ip:port/_async/AsyncResponseService


微信图片_20190621112401.jpg

 

什么样的应用可以禁用? 


如果确认本 domain 没有使用异步 webservices,那么完全可以禁用这个组件


使用 weblogic 异步 webservices 示例:


如何确认:

一般会引起下面三个 weblogic 自带的 class

importweblogic.wsee.async.AsyncPreCallContext;
importweblogic.wsee.async.AsyncCallContextFactory;
importweblogic.wsee.async.AsyncPostCallContext;
packageexamples.webservices.async_req_res;
importweblogic.jws.WLHttpTransport; importweblogic.jws.ServiceClient; importweblogic.jws.AsyncResponse; importweblogic.jws.AsyncFailure;
importweblogic.wsee.async.AsyncPreCallContext; importweblogic.wsee.async.AsyncCallContextFactory; importweblogic.wsee.async.AsyncPostCallContext;
importjavax.jws.WebService; importjavax.jws.WebMethod;
importexamples.webservices.async_req_res.StockQuotePortType;
importjava.rmi.RemoteException;
@WebService(name="StockQuoteClientPortType", serviceName="StockQuoteClientService", targetNamespace="http://examples.org/")
@WLHttpTransport(contextPath="asyncClient", serviceUri="StockQuoteClient",
云和恩墨 成就所托 www.enmotech.com
http://www.enmotech.com 实力成就稳健 技术创造价值 -6
portName="StockQuoteClientServicePort")
/** * ClientWebServicethatinvokestheStockQuoteServiceasynchronously. */
publicclassStockQuoteClientImpl{
@ServiceClient(wsdlLocation="http://localhost:7001/async/StockQuote?WSDL", serviceName="StockQuoteService",portName="StockQuote")
privateStockQuotePortTypeport;
@WebMethod publicvoidasyncOperation(Stringsymbol,StringuserName) throwsRemoteException{
AsyncPreCallContextapc=AsyncCallContextFactory.getAsyncPreCallContext(); apc.setProperty("userName",userName);
try{ port.getQuoteAsync(apc,symbol); System.out.println("ingetQuotemethodofStockQuoteClientWS");
}catch(RemoteExceptionre){
System.out.println("RemoteExceptionthrown"); thrownewRuntimeException(re);
}
}
@AsyncResponse(target="port",operation="getQuote") publicvoidonGetQuoteAsyncResponse(AsyncPostCallContextapc,intquote){ //GettheuserNameproperty wesetonAsyncPreCallContext StringuserName=(String)apc.getProperty("userName"); System.out.println("-------------------"); System.out.println(username+"Gotquote"+quote); System.out.println("-------------------"); }
@AsyncFailure(target="port",operation="getQuote") publicvoidonGetQuoteAsyncFailure(AsyncPostCallContextapc,Throwablee){ System.out.println("-------------------"); e.printStackTrace();
云和恩墨 成就所托 www.enmotech.com
http://www.enmotech.com 实力成就稳健 技术创造价值 -7
System.out.println("-------------------");
}
}

3. 影响范围



Weblogic: 9.2~12213(重点是外网直接访问 weblogic 的应用)


参考文档:
9.2
https://docs.oracle.com/cd/E13222_01/wls/docs92/webserv/advanced.html#wp265081
1221
https://docs.oracle.com/middleware/1221/wls/WSRPC/jax-rpc-async.htm#WSRPC317

各版本错误纠正日期说明:


微信图片_20190621112410.jpg


ErrorCorrectionSupportDatesforOracleWebLogicServer(文档 ID950131.1)

注意:举例说官方指出影响 12.2.1.3 版本,实际是影响 12.2.*版本,即影响 12.2 的所有版本,只 是因为这几个版本已经过了错误纠正日期。没有对应补丁而已。


4. 整改建议



3.1 添加-Dweblogic.wsee.skip.async.response=true

在启动脚本中添加上面参数,可以禁用此组件

示例:


微信图片_20190621112413.jpg


调整前效果:


微信图片_20190621112415.jpg


调整后效果: 组件访问被禁用


微信图片_20190621112418.jpg


3.2 删除此 war 包

示例如下:
find.-namebea_wls9_async_response.war


微信图片_20190621112421.jpg


3.3 防火墙、负载均衡器实施限制

禁止访问带有这种/_async 上下文根

3.4 打补丁
4 月 27 日官方发布补丁已经失效,请使用 2019-6-19 新发布补丁进行修复。
SecurityAlertCVE-2019-2729PatchAvailabilityDocumentforOracleWebLogicServer(文档 ID 2555019.1)

如果已经应用 cve-2019-2725 的补丁,必须先卸载后,才能应用 cve-2019-2729 补丁。

鉴于已有先例,彻底的解决方案使用 3.1 、3.2 、3.3。

3.5 附录

附:早期wls-wsat组件漏洞仍存在安全风险,如果http://ip_address:port/wls-wsat/CoordinatorPortType 可以访问,那么建议从防火墙、负载均衡器禁止访问带有这种/wls-wsat 上下文根、或者删除 示例如下:

find.-name*wsat*
/home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.in ternal/wls-wsat.war
/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_ WL_internal/wls-wsat

12.2.1.0 及以后此功能已经禁用


5. 参考



WarningMessageonJMScomponentsintheConsole(DocID1347384.1)
https://docs.oracle.com/cd/E13222_01/wls/docs92/webserv/advanced.html#wp265081
https://docs.oracle.com/middleware/1221/wls/WSRPC/jax-rpc-async.htm#WSRPC307
https://docs.oracle.com/cd/E23943_01/web.1111/e13735/asynch.htm#WSRPA117

原创:刘韬,云和恩墨中间件服务交付团队专家,在中间件领域有多年的实战经验,精通 WebLogic server,Websphere,Jboss,Tomcat,tuxedo,mq,osb等多种中间件技术,对中间件的故障处理、性能优化、升级迁移等需求积累了丰富经验。