近日，奇安信CERT监测到包含在1月份Oracle关键补丁程序更新CPU（Critical Patch Update）的漏洞，Oracle Coherence反序列化远程代码执行漏洞（CVE-2020-2555）的细节已被公开，Oracle Coherence为Oracle融合中间件中的产品，在WebLogic 12c及以上版本中默认集成到WebLogic安装包中。奇安信CERT第一时间成功复现了此漏洞，鉴于漏洞危害较大，建议客户尽快安装补丁更新。

奇安信 CERT

漏洞描述

近日，奇安信CERT监测到包含在1月份Oracle关键补丁程序更新CPU（Critical Patch Update）的漏洞，Oracle Coherence反序列化远程代码执行漏洞（CVE-2020-2555）的细节已被公开，Oracle Coherence为Oracle融合中间件中的产品，是业界领先的内存数据网格解决方案，它能为公司和组织提供对常用数据的快速访问。在WebLogic 12c及以上版本中默认集成到WebLogic安装包中。Oracle Coherence中的反序列化远程代码执行漏洞允许未经身份验证的攻击者通过精心构造的T3网络协议请求进行攻击。成功利用该漏洞的攻击者可以在目标主机上执行任意代码。奇安信CERT第一时间成功复现了此漏洞，复现截图如下：

风险等级

奇安信 CERT风险评级为：高危

风险等级：蓝色（一般事件）

影响范围

Oracle Coherence 3.7.1.17

Oracle Coherence 12.1.3.0.0

Oracle Coherence 12.2.1.3.0

Oracle Coherence 12.2.1.4.0

处置建议

请参考以下链接安装补丁更新：

https://www.oracle.com/security-alerts/cpujan2020.html

技术分析

通过对Oracle Coherence 的补丁分析可以看到该补丁修复了一个因为LimitFilter导致的反序列化的安全问题：

通过对LimitFilter的代码分析可以看到在toString方法内部调用了ValueExtractor的extract方法：

最终在ReflectionExtractor的extract方法内部触发动态调用，导致远程代码执行：

产品线解决方案

奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则，请将规则包升级到3.0.0306.11701及以上版本。规则名称：Oracle Coherence反序列化远程代码执行漏洞(CVE-2020-2555)，规则ID：0x5a83。奇安信天眼流量探针（传感器）升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信开源卫士产品解决方案

奇安信开源卫士通过更新到20200306.226版本，支持对Oracle Coherence反序列化远程代码执行漏洞的检测。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS3000/5000/7000/9000系列和vNDS1000/2000/3000系列）产品，已具备该漏洞的检测能力。规则ID为：51427，建议用户尽快升级检测规则库至2003061415以上版本并启用该检测规则。

奇安信网神天堤防火墙产品防护方案

奇安信新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2003061415” 及以上版本并启用规则ID: 51427进行检测。

参考资料

[1]https://www.oracle.com/security-alerts/cpujan2020.html

[2]https://www.oracle.com/security-alerts/cpujan2020verbose.html#DB

[3]https://www.zerodayinitiative.com/blog/2020/3/5/cve-2020-2555-rce-through-a-deserialization-bug-in-oracles-weblogic-server

时间线

2020年3月6日，奇安信 CERT发布安全风险通告

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

点个“在看”，bounty 不停~