预警背景描述
近日,互联网上曝出 WebSphere 存在远程代码执行漏洞(CVE2020-4276、CVE-2020-4362)。攻击者通过利用此漏洞,可以在未经授权的目标服务端执行任意恶意代码,获取系统权限。
预警描述 WebSphere Application Server 是一款由 IBM 公司开发的高性能的 Java 中间件服务器,可用于构建、运行、集成、保护和管理部署的动态云和 Web 应用。它不仅能够确保高性能和灵活性,还提供多种开放标准编程模型选项,旨在最大程度提高开发人员的生产力。
WebSphere SOAP Connector 服务用于管理远程节点和数据同步,因此主要是在服务器与服务器之间进行通信。它的默认监听地址为0.0.0.0:8880。由于 WebSphere SOAP Connector 主要用于服务器之间的通信,因此多见于企业内网环境中。 对于受漏洞影响的 WebSphere 来说,如果攻击者可以访问到其 SOAP Connector 服 务 端 口 , 即 存 在 被 漏 洞 利 用 的 风 险(WebSphereSOAP Connector 默认监听地址为 0.0.0.0:8880,且此漏洞的利用无额外条件限制)。
漏洞危害 攻击者通过利用此漏洞,可以在未经授权的目标服务端执行任意
恶意代码,获取系统权限。
受影响范围
⚫ WebSphere Application Server 9.0.x
⚫ WebSphere Application Server 8.5.x
⚫ WebSphere Application Server 8.0.x
⚫ WebSphere Application Server 7.0.x
修复建议
铱迅安全服务团队建议您尽快更新版本并安装官方补丁,方法如
下:
⚫ WebSphere Application Server 9.0.x:更新安全补丁
PH21511 及 PH23853
⚫ WebSphere Application Server 8.5.x:更新安全补丁
PH21511 及 PH23853
⚫ WebSphere Application Server 8.0.x:升级到 8.0.0.15 版
本,然后更新安全补丁 PH21511 及 PH23853
⚫ WebSphere Application Server 7.0.x:升级到 7.0.0.45 版
本,然后更新安全补丁 PH21511 及 PH23853
官方补丁地址:
➢ https://www.ibm.com/support/pages/node/6118222
➢ https://www.ibm.com/support/pages/node/6174417