概述
近日，白帽駭客資安網監測到互聯網上曝出了Oracle WebLogic反序列化遠端命令執行漏洞。WebLogic是美國Oracle公司出品的Java應用伺服器，WebLogic是用於開發、集成、部署和管理大型分散式Web應用、網路應用和資料庫應用。攻擊者可利用該漏洞在未授權的情況下遠端執行命令。和CVE-2019-2725（CNVD-C-2019-48814）不同，該漏洞可以繞過最新的補丁。由於weblogic使用人數眾多，其中包含一些重要單位，且目前官方未發佈相關補丁，所以漏洞危害非常嚴重。希望相關用戶採取下方的臨時修復方案進行應急。
分佈情況
根據FOFA的資料統計，全球共有26421個開放的weblogic服務。其中美國最多，有11284個開放服務。其次是中國，有6852個開放的weblogic服務。伊朗排第三，有2204個開放的weblogic服務。德國有453個開放的weblogic服務。加拿大有414個開放的weblogic服務。


國內的weblogic服務分佈如下，北京最多，有3660個服務，廣東有394個服務，上海有393個服務，浙江有271個服務，江蘇有209個服務，台灣4個。

漏洞危害

• 高危

影響版本

• WebLogic 10.X
• WebLogic 12.1.3

漏洞POC
目前，文中提到的漏洞相關PoC，FOFA用戶端目前已支持檢測上述漏洞。

修復建議
目前，Oracle官方暫未發佈補丁，臨時解決方案如下：

• 1、尋求eSafe白帽駭客資安網幫您服務，或按造以下方式試試。
• 2、通過訪問策略控制禁止 /_async/跟/wls-wsat/ 路徑的URL訪問。
• 3、刪除 wls9_async_response.war 與 wls-wsat.war 檔及相關資料夾，並重啟 Weblogic 服務。進行刪除操作可能造成未知後果，請謹慎操作。 需要刪除的檔路徑如下：

10.3.*版本路徑：
\Middleware\wlserver_10.3\server\lib\
%DOMAIN_HOME%\servers\AdminServer\tmp_WL_internal\ %DOMAIN_HOME%\servers\AdminServer\tmp.internal\
12.1.3 版本路徑：
\Middleware\Oracle_Home\oracle_common\modules\
%DOMAIN_HOME%\servers\AdminServer\tmp.internal\
%DOMAIN_HOME%\servers\AdminServer\tmp_WL_internal\
為您提供：網路空間測繪、企業資產收集、企業威脅情報、應急回應服務。