CVE-2015-7450

IBM WebSphere Application Server and Server Hypervisor Edition

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-01-10

Официальное описание

Serialized-object interfaces in certain IBM analytics, business solutions, cognitive, IT infrastructure, and mobile and social products allow remote attackers to execute arbitrary commands

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в интерфейсах десериализации Java-объектов (Apache Commons Collections) в IBM WebSphere Application Server (WAS). Злоумышленник может отправить специально сформированный сериализованный объект по протоколам RMI, JMX или через HTTP-запросы к служебным портам WAS. При десериализации этого объекта на сервере выполняется произвольный вредоносный код с правами пользователя, под которым работает процесс WAS.

Как исправить

Установите официальный фикс-пак (Fix Pack) или интерми-фикс (Interim Fix) от IBM, который обновляет библиотеку Apache Commons Collections до защищенной версии.

  1. Определите точную версию и редакцию WebSphere: bash cd /opt/IBM/WebSphere/AppServer/bin/ ./versionInfo.sh (Для Windows: %WAS_HOME%\bin\versionInfo.bat)

  2. Установите необходимый фикс в зависимости от вашей версии:

    • Для WebSphere Application Server 8.5: Установите Fix Pack 8.5.5.9 или выше.
    • Для WebSphere Application Server 8.0: Установите Fix Pack 8.0.0.11 или выше.
    • Для WebSphere Application Server 7.0: Установите Fix Pack 7.0.0.39 или выше.
    • Для Liberty Profile: Обновите до Fix Pack 8.5.5.8 или выше, либо установите интерми-фикс PI48386.

    Ссылки на портале IBM (требуется учетная запись): * Страница поддержки WebSphere * Описание APAR PI48386

  3. Пример команды для установки фикс-пака через IBM Installation Manager (Linux): bash /opt/IBM/InstallationManager/eclipse/tools/imcl install com.ibm.websphere.ND.v85 -repositories /path/to/fixpack/repository/ -installationDirectory /opt/IBM/WebSphere/AppServer/ -acceptLicense

Временное решение

Если немедленная установка патча невозможна, примените следующие меры:

  1. Ограничьте сетевой доступ:

    • Настройте групповые политики брандмауэра (NSG, Security Groups) или локальный файрвол (iptables, firewalld) так, чтобы к служебным портам WebSphere (по умолчанию 8880, 9043, 2809 для RMI, 9100 для JMX) могли подключаться только доверенные IP-адреса административных серверов.
    • Пример iptables для ограничения порта SOAP (8880): bash iptables -A INPUT -p tcp --dport 8880 -s <trusted_admin_ip> -j ACCEPT iptables -A INPUT -p tcp --dport 8880 -j DROP

  2. Настройте WAF (Web Application Firewall):

    • Разверните правила, блокирующие HTTP-запросы, содержащие в теле или заголовках последовательности, характерные для сериализованных Java-объектов (например, rO0AB, ACED0005 в Base64).
    • Пример сигнатуры для ModSecurity: SecRule REQUEST_BODY "rO0AB" "phase:2,id:10001,deny,msg:'Java Serialized Object Detected'"

  3. Отключите ненужные службы:

    • Если не используются, отключите службы RMI и JMX через административную консоль WAS (Консоль администратора -> Служебные порты -> ...).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей