“近日，Oracle 爆出WebLogic Server远程代码执行漏洞（CNNVD-201810-781、CVE-2018-3245），攻击者可利用该漏洞在未授权的情况下发送攻击数据，通过T3协议在WebLogic Server中执行反序列化操作，最终实现远程代码执行。”

“事件回顾”
Oracle WebLogic Server是美国甲骨文（Oracle）公司开发的一款适用于云环境和传统环境的应用服务中间件，它提供了一个现代轻型开发平台，支持应用从开发到生产的整个生命周期管理，并简化了应用的部署和管理。

该漏洞通过JRMP协议利用RMI机制的缺陷达到远程代码执行的目的。攻击者可以在未授权的情况下将payload封装在T3协议中，通过对T3协议中的payload进行反序列化，从而实现对存在漏洞的WebLogic组件进行远程攻击，执行任意代码，并获取目标系统的所有权限。

“影响范围”
该漏洞涉及了多个版本，具体受影响版本如下：
Oracle WebLogic Server 10.3.6.0
Oracle WebLogic Server 12.1.3.0
Oracle WebLogic Server 12.2.1.2
Oracle WebLogic Server 12.2.1.3

“官方修复方案”
目前， Oracle官方已经发布补丁修复了漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。
Oracle官方更新链接如下：
https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

“网宿建议”
漏洞修复之前，用户可以通过关闭WebLogic T3服务，控制T3协议的访问来避免威胁。

漏洞的产生跟WebLogic的T3服务有关，因此可以通过控制T3协议的访问来临时阻断针对该漏洞的攻击。当开发WebLogic控制台端口（默认为7001）时，T3服务会默认开启。

具体做法：
通过设置weblogic.security.net.ConnectionFilterImpl默认连接筛选器，对T3/T3s协议的访问权限进行配置，阻断漏洞利用途径。
（a）进入WebLogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置；
（b）在连接筛选器中输入：WebLogic.security.net.ConnectionFilterImpl，在连接筛选器规则中输入：* * 7001 deny t3 t3s；
（c）保存后重新启动即可生效。

网宿云WAF已于漏洞公开后的第一时间更新防护策略，为平台客户实时抵御威胁。同时，网宿云安全已开通漏洞响应快速通道，受本次漏洞影响的网站负责人可以致电网宿科技7*24小时客服热线，在安全专家的指导下快速接入网站，立即启动防护。

网宿云WAF能够防护已知的各类漏洞，同时，还可以基于对大量监控数据的实时分析，可以第一时间发现并防护新出现的漏洞，保障网站底层框架的安全。