文章总结： 边界无限靖云甲ADR在某金融客户实战中捕获WebLogicIIOP协议反序列化0day漏洞，攻击者可利用该漏洞实现远程代码执行且无需出网，影响WebLogicServer12.2.1.4.0及14.1.1.0.0以下版本。建议通过禁用T3/IIOP协议或部署靖云甲ADR基于RASP技术的方案进行防御。 综合评分： 78 文章分类： 漏洞分析,应急响应,安全工具,应用安全,安全运营

靖云甲ADR捕获WebLogic远程代码执行0day漏洞

实战攻防

2024年7月24日 18:00 北京

在小说阅读器读本章

去阅读

以下文章来源于边界无限 ，作者边界无限

边界无限 .

边界无限是国内提供全链路云安全防护产品和实战化攻防体系建设的新锐网络安全企业，致力于通过还原真实攻防来帮助政企客户构建更安全、更灵动的网络及更动态、更有价值的纵深防御体系。

WebLogic 是在金融、运营商、能源、中央企业、大型企业中常用的中间件，也是安全研究的重点关注对象，其覆盖的应用系统数量极多，且多数应用皆会对外提供服务，此类大型中间件的漏洞可谓是进攻利器。

为了应对日新月异的攻击手段以及第三方外采系统、老旧业务系统防护难等问题，很多客户选择边界无限为Web应用套上“靖云甲”，该方案基于应用运行时自防护——RASP技术，专门针对应用和Java中间件进行重点防御，给用户的应用增加最后一道防线，使其免受应用层的0day漏洞和内存马攻击。

近期在某金融行业客户的现场，靖云甲ADR捕获到了反序列化与命令执行相关的攻击告警，最初我们认为是一个常见的漏洞利用告警，但是随着排查并深入分析告警信息，其攻击执行是通过Weblogic IIOP协议的反序列化漏洞进行操作的，并且从调用链来看攻击者挖掘到了新的漏洞利用入口，攻击手法可无视官方最新提供的反序列化黑名单，最终可利用该漏洞实现远程代码执行。

目前靖云甲ADR已经协助用户捕获了相关Weblogic漏洞利用。目前近期部署的靖云甲ADR工具无需升级便可检测和防御该漏洞的利用，用户可部署靖云甲ADR来防御该漏洞的攻击。

漏洞信息

漏洞类型：远程代码执行

漏洞等级：高危

漏洞所需权限：无权限需求

攻击者可以利用Weblogic暴露的IIOP协议进行反序列化，实现远程代码执行，获取服务器权限。下面为靖云甲ADR完整捕获流程，可以看到攻击者首先进行了反序列化操作，然后利用反序列化进行命令执行。

图一 反序列化漏洞利用告警

图二 远程命令执行告警

漏洞利用条件

1.Weblogic对外开放IIOP协议访问；

2.整个漏洞利用过程无需出网。

漏洞影响范围

版本≤ WebLogic Server 12.2.1.4.0

版本≤ WebLogic Server 14.1.1.0.0

修复方案

1.临时缓解措施：禁用 T3/IIOP 协议，或针对白名单IP进行开放；

2.安装基于RASP技术的靖云甲ADR，可天然免疫该漏洞攻击。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：实战攻防 《靖云甲ADR捕获WebLogic远程代码执行0day漏洞》