WebLogic wls9-async 反序列化漏洞分析报告 (CNTA-2019-0014)<\/h1>

漏洞概述<\/h2>

漏洞编号<\/strong>: CNTA-2019-0014<\/li>
影响组件<\/strong>: WebLogic wls9_async_response 包<\/li>
漏洞类型<\/strong>: XML反序列化远程代码执行(RCE)<\/li>
测试版本<\/strong>: WebLogic 10.3.6 (高版本如12.2.1.2默认不部署该war包)<\/li>

漏洞位置<\/strong>: \/_async\/<\/code> 路径下的异步响应处理<\/li> <\/ul> 漏洞背景<\/h2> 该漏洞是WebLogic中一个典型的XML反序列化漏洞，与2017年出现的类似漏洞属于同一类型。漏洞存在于wls9_async_response组件的处理流程中，攻击者可以通过构造恶意的SOAP请求触发XMLDecoder反序列化，最终导致远程代码执行。<\/p> 技术分析<\/h2> 1. 漏洞入口点<\/h3> 漏洞的入口位于WebLogic的异步响应处理组件中，具体路径为\/_async\/<\/code>，对应的处理类为AsyncResponseBean<\/code>。然而，直接分析该类发现只有handleFault<\/code>和handleResult<\/code>两个方法，并非直接漏洞触发点。<\/p> 2. 请求处理流程<\/h3> 完整的漏洞触发调用链如下：<\/p> BaseWSServlet#service -> SoapProcessor#process -> ServerDispatcher#dispatch -> HandlerIterator#handleRequest -> WorkAreaServerHandler#handleRequest -> WorkContextMapInterceptor#receiveRequest -> WorkContextXmlInputAdapter#readUTF -> XMLDecoder#readObject <\/code><\/pre> 3. 关键分析点<\/h3> 3.1 责任链模式处理<\/h4> WebLogic使用责任链模式处理SOAP请求，包含21个Handler：<\/p> 请求首先由BaseWSServlet<\/code>接收<\/li> 通过SoapProcessor<\/code>处理<\/li> 由ServerDispatcher<\/code>分发<\/li> 在HandlerIterator<\/code>中遍历21个Handler进行处理<\/li> <\/ol> 3.2 关键Handler分析<\/h4> 在21个Handler中，WorkAreaServerHandler<\/code>是关键漏洞触发点：<\/p> 从SOAP Header中获取workarea<\/code>相关内容<\/li> 将内容送入WorkContextXmlInputAdapter<\/code>进行初始化处理<\/li> 调用receiveRequest<\/code>函数<\/li> <\/ol> 3.3 反序列化触发点<\/h4> 最终的反序列化发生在以下路径：<\/p> WorkContextMapInterceptor#receiveRequest<\/code>调用readEntry<\/code><\/li> readEntry<\/code>调用WorkContextXmlInputAdapter#readUTF<\/code><\/li> readUTF<\/code>中直接调用XMLDecoder#readObject<\/code>进行反序列化<\/li> <\/ol> 4. 漏洞利用条件<\/h3> 目标系统部署了wls9_async_response组件<\/li> 攻击者能够发送特制的SOAP请求到WebLogic服务器<\/li> 请求中包含恶意的序列化XML数据<\/li> <\/ol> 漏洞验证<\/h2> 在WebLogic 10.3.6环境中，通过构造特定的POC可以触发该漏洞，导致任意代码执行。<\/p> 防护建议<\/h2> 升级补丁<\/strong>: 应用Oracle官方发布的安全补丁<\/li> 组件移除<\/strong>: 对于不需要的组件，可以移除wls9_async_response.war<\/li> 访问控制<\/strong>: 限制对\/_async\/路径的访问<\/li> 输入验证<\/strong>: 对SOAP请求中的XML内容进行严格验证<\/li> <\/ol> 技术细节补充<\/h2> 该漏洞利用的是Java XMLDecoder的反序列化问题<\/li> 高版本WebLogic(如12.2.1.2)默认不部署该war包，降低了风险<\/li> 漏洞利用需要构造特定的SOAP Header，包含恶意的workarea内容<\/li> <\/ol> 总结<\/h2> CNTA-2019-0014漏洞是WebLogic中一个典型的XML反序列化漏洞，通过精心构造的SOAP请求可以触发远程代码执行。理解其完整的调用链和触发条件对于防御此类漏洞具有重要意义。管理员应及时应用补丁或移除不必要的组件来降低风险。<\/p>