甲骨文周二宣布了针对影响特定版本WebLogic Server的远程代码执行漏洞的补丁。 这个漏洞绕过了以前固定的漏洞，研究人员说它在攻击中被积极使用。

现在跟踪问题CVE-2019-2729，它通过Oracle WebLogic Server Web服务中的XMLDecoder进行反序列化。 这与4月修补的CVE-2019-2725相同，在过去的攻击中用于提供Sodinokibi勒索软件和加密货币矿工。 它也包含在最近发现的Echobot僵尸网络的漏洞包中。

旧问题回归

甲骨文警告称，CVE-2019-2729的严重程度得分为9.8（满分10分），“可以通过网络利用，而无需用户名和密码。” 受影响的WebLogic Server版本为10.3.6.0.0,12.1.3.0.0,12.2.1.3.0。

星期六，来自KnownSec的404团队的成员警告说，Oracle WebLogic中的早期反序列化问题已被绕过。 当时这是一个零日漏洞，研究人员称它“在野外积极使用”。 他们得出结论，它是CVE-2019-2725的旁路，具有相同的9.8临界严重性分数。

然后今天，发现了一个新的oracle webLogic反序列化RCE 0day漏洞，并且正在疯狂地使用。我们分析并重现了0day漏洞，该漏洞基于并绕过了CVE-2019-2725的补丁。

Oracle认为Badcode是Knownsec 404团队的成员，负责报告新的反序列化漏洞，以及其他九位安全研究人员。

补丁的临时解决方案

反序列化问题由Oracle WebLogic中的“wls9_async”和“wls-wsat”组件触发。

如果无法立即修补，研究人员会提出两种缓解方案：

1、删除“wls9_async_response.war”和“wls-wsat.war”然后重新启动WebLogic服务

2、对URL“/ _async / *”和“/ wls-wsat / *”的URL访问实施访问策略控制

在Oracle了解它们并发布紧急补丁时，这两个反序列化漏洞都被零天积极利用。它们以相同的方式工作，并利用它们导致相同的远程代码执行效果。不同之处在于，第一个影响所有版本的WebLogic Server，而第二个影响Oracle产品的特定版本。

根据ZoomEye搜索引擎的结果，2019年部署了大约42,000个Oracle WebLogic Server实例。在Shodan上进行的类似搜索显示，在线提供的服务器数量略多于2,300台。两家发动机达成一致意见的是，这些服务器主要存在于美国和中国。