WebSphere远程代码执行漏洞处置方案
 
2020年6月5日，IBM官方发布安全通告修复了WebSphere Application Server中的远程代码执行漏洞（CVE-2020-4450），根据IBM官方通告，WebSphere Application Server存在一处IIOP反序列化漏洞，将会导致远程代码执行，未经身份认证的攻击者可以通过IIOP协议远程攻击WebSphere Application Server服务器。鉴于该漏洞影响较大，建议客户尽快安装软件更新。
 
漏洞描述
 
WebSphere Application Server 是一款由IBM 公司开发的高性能的 Java 应用服务器，可用于构建、运行、集成、保护和管理内部部署和/或外部部署的动态云和 Web 应用。它不仅能够确保高性能和灵活性，还提供多种开放标准编程模型选项，旨在最大程度提高开发人员的生产力。它可提供灵活先进的性能、冗余和编程模型。
 
2020年6月5日，奇安信CERT监测到IBM官方发布安全通告修复了WebSphere Application Server中的远程代码执行漏洞（CVE-2020-4450），经过分析，未经身份认证的攻击者可以通过IIOP协议远程攻击WebSphere Application Server服务器，鉴于该漏洞影响较大，建议客户尽快安装软件更新。
 
奇安信CERT第一时间复现了CVE-2020-4450漏洞，复现截图如下：
 
 

CVE-2020-4450: WebSphere远程代码执行漏洞通告
 
360-CERT [三六零CERT](javascript:void(0)😉 昨天
 
 
0x00 漏洞背景
 
2020 年 06 月 08 日，360CERT监测到 IBM官方发布了 WebSphere远程代码执行 的风险通告，该漏洞编号为 CVE-2020-4450，漏洞等级：高危。
 
WebSphere Application Server 是一款由IBM 公司开发的高性能的Java 中间件服务器，可用于构建、运行、集成、保护和管理部署的动态云和Web 应用。它不仅能够确保高性能和灵活性，还提供多种开放标准编程模型选项，旨在最大程度提高开发人员的生产力。
 
此漏洞由IIOP协议上的反序列化造成，未经身份认证的攻击者可以通过IIOP协议远程攻击WebSphere Application Server，在目标服务端执行任意代码，获取系统权限，进而接管服务器。
 
对此，360CERT建议广大用户及时安装最新补丁，做好资产自查以及预防工作，以免遭受黑客攻击。
 
0x01 风险等级
 
360CERT对该漏洞的评定结果如下
 
评定方式
等级
威胁等级
高危
影响面
一般
0x02 漏洞详情
 
此漏洞由IIOP协议上的反序列化造成，未经身份认证的攻击者可以通过IIOP协议远程攻击WebSphere Application Server，在目标服务端执行任意代码，获取系统权限，进而接管服务器
 
0x03 影响版本
 
WebSphere Application Server: 9.0.0.0 to 9.0.5.4
WebSphere Application Server: 8.5.0.0 to 8.5.5.17
WebSphere Application Server: 8.0.0.0 to 8.0.0.15
WebSphere Application Server: 7.0.0.0 to 7.0.0.45
 
0x04 修复建议
 
通用修补建议：
 
WebSphere Application Server 9.0.0.0 - 9.0.5.4: 更新安全补丁PH25074
 WebSphere Application Server 8.5.0.0 - 8.5.5.17: 更新安全补丁PH25074
 WebSphere Application Server 8.0.0.0 - 8.0.0.15: 升级至8.0.0.15 版本，并安装补丁PH25074
 WebSphere Application Server 7.0.0.0 - 7.0.0.45: 升级至7.0.0.45版本，并安装补丁PH25074
 
补丁下载链接：
 https://www.ibm.com/support/pages/node/6220276
 
0x05 相关空间测绘数据
 
360安全大脑-Quake网络空间测绘系统通过对全网资产测绘，发现WebSphere在全球均有广泛使用，具体分布如下图所示。
 
 
0x06 产品侧解决方案
 
360城市级网络安全监测服务
 
360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段，对该类漏洞进行监测，请用户联系相关产品区域负责人获取对应产品。
 
0x07 时间线
 
2020-06-04 IBM发布预警
 
2020-06-08 360CERT发布预警
 
0x08 参考链接
 
https://www.ibm.com/support/pages/security-bulletin-websphere-application-server-vulnerable-remote-code-execution-vulnerability-cve-2020-4450
 
转载自https://mp.weixin.qq.com/s/7xD45KDnNhP64XaSaKYf-Q

【漏洞通告】WebSphere远程代码执行漏洞（CVE-2020-4450）通告
 
原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)😉 昨天
 
通告编号:NS-2020-0036
 
2020-06-05
 
TA****G：
WebSphere、远程代码执行、CVE-2020-4450
漏****洞危害：
攻击者利用此漏洞，可实现远程代码执行。
版本：
1.0
1
 
漏洞概述
 
北京时间6月5日，IBM官方发布通告修复了WebSphere Application Server（WAS）中的远程代码执行（CVE-2020-4450）漏洞，此漏洞由IIOP协议上的反序列化造成，未经身份认证的攻击者可以通过IIOP协议远程攻击WAS服务器，在目标服务端执行任意代码，获取系统权限，进而接管服务器。CVSS评分为9.8分，漏洞危害较高。
 
WebSphere Application Server是企业级Web中间件，由于其可靠、灵活和健壮的特点，被广泛应用于企业的Web服务中。影响面较大，请相关用户尽快采取措施进行防护。
 
参考链接：
 
https://www.ibm.com/support/pages/node/6220276
 
SEE MORE →
 
2影响范围
 
受影响版本
 
WebSphere Application Server 9.0.0.0 - 9.0.5.4
WebSphere Application Server 8.5.0.0 - 8.5.5.17
WebSphere Application Server 8.0.0.0 - 8.0.0.15
WebSphere Application Server 7.0.0.0 - 7.0.0.45
 
注：WebSphere Application Server V7.0 和 V8.0官方已停止维护。
 
3漏洞检测
 
3.1 版本检测
 
相关用户可通过版本检测的方式判断当前应用是否存在风险。
 
方法一：登录websphere管理平台首页查看版本信息。
 
 
若当前使用版本在受影响范围内，则可能存在安全风险。
 
方法二：进入/opt/IBM/WebSphere/AppServer/bin目录下，执行./versionInfo.sh即可查看当前版本，查看Package日期，如果低于20200603则说明存在安全风险。
 
./versionInfo.sh
 
 
4漏洞防护
 
4.1 官方升级
 
目前官方已发布补丁修复了该漏洞，对于已停止维护的版本也提供了安全补丁，请受影响的用户尽快安装进行防护。
 
相关用户可通过IBM Installation Manager进行升级，根据提示进行版本更新、补丁安装。
 
 
用户也可至官网手动下载补丁并安装。
 
受影响版本
修复方法
补丁下载链接
9.0.0.0 - 9.0.5.4
安装补丁PH25074
https://www.ibm.com/support/pages/node/6220276
8.5.0.0 - 8.5.5.17
安装补丁PH25074
8.0.0.0 - 8.0.0.15
升级至8.0.0.15 版本，并安装补丁PH25074
7.0.0.0 - 7.0.0.45
升级至7.0.0.45版本，并安装补丁PH25074

注：安装补丁之前请先关闭WebSphere服务，安装完成后再将服务开启。
 
转载自https://mp.weixin.qq.com/s/sNHUtZXH58Ya77cG7noIpg

       近日，IBM发布安全通告称修复了一个WebSphere Application Server中一个潜在的远程代码执行漏洞（CVE-2018-1567）。攻击者可以构造一个恶意的序列化对象，随后通过SOAP连接器来执行任意JAVA代码.目前没有更多漏洞细节披露
 
        该漏洞 CVSS 得分 9.8， 攻击者可在不经过身份认证的情况下远程对 We bSphere 服务器发起攻击，造成远程代码执行，最终导致服务器被控制。
 
 
 
 
 
受影响的版本
 
IBM WebSphere Application Server:
 
Version 9.0
Version 8.5
Version 8.0
Version 7.0
不受影响的版本
 
Version >= 9.0.0.10
Version >= 8.5.5.15
注：官方已不再完整支持v7,v8，用户需根据官方说明进行更新。
 
 
 
https://www-01.ibm.com/support/docview.wss?uid=ibm10730503
 
 
解决方案
 
IBM官方已经发布了新版本修复了上述漏洞，请受影响的用户尽快更新升级进行防护。
 
用户可以使用interim fix, Fix Pack 或者包含APARs PI95973的PTF进行升级，具体操作步骤请参考官方说明中Remediation/Fixes部分：
 
 
 
https://www-01.ibm.com/support/docview.wss?uid=swg22016254