Суть уязвимости

Уязвимость (CVE-2020-14750) в Oracle WebLogic Server позволяет неавторизованному удаленному злоумышленнику выполнить произвольный код на сервере. Атака осуществляется через HTTP-порт консоли администрирования (обычно 7001) или управляемого сервера. Злоумышленник отправляет специально сформированный HTTP-запрос, который обходит механизмы аутентификации и авторизации, что приводит к выполнению команд операционной системы с привилегиями процесса WebLogic.

Как исправить

Установите официальный патч от Oracle (Out-of-Band патч). Уязвимость исправлена в версиях с определенными патч-наборами (Patch Set Update, PSU) или накопительными патчами (CPU).

1. Определите точную версию WebLogic Server: bash cd $WL_HOME/server/bin . ./setWLSEnv.sh java weblogic.version

2. Загрузите и установите соответствующий патч:

   • Для WebLogic Server 10.3.6.0: Установите патч PSU 10.3.6.0.201107 или более новый.
   • Для WebLogic Server 12.1.3.0: Установите патч PSU 12.1.3.0.201107 или более новый.
   • Для WebLogic Server 12.2.1.3: Установите патч PSU 12.2.1.3.201107 или более новый.
   • Для WebLogic Server 12.2.1.4: Установите патч PSU 12.2.1.4.201107 или более новый.
   • Для WebLogic Server 14.1.1.0: Установите патч PSU 14.1.1.0.201107 или более новый.

   Патчи доступны через Oracle Support (MOS). Используйте opatch для установки: bash cd <PATCH_DIRECTORY> $ORACLE_HOME/OPatch/opatch apply

3. Перезапустите все серверы WebLogic (Admin Server и Managed Servers).

Временное решение

Если немедленная установка патча невозможна, примените следующие меры:

1. Ограничьте сетевой доступ:

   • Настройте брандмауэр (iptables, Security Groups) так, чтобы доступ к портам консоли администрирования (например, TCP/7001) и управляемых серверов был разрешен только с доверенных IP-адресов (например, сети администраторов). ```bash

   Пример iptables для разрешения только с внутренней сети 10.0.0.0/24

   iptables -A INPUT -p tcp --dport 7001 -s 10.0.0.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 7001 -j DROP ```

2. Настройте WAF (Web Application Firewall):

   • Разместите WAF (например, ModSecurity, коммерческие решения) перед кластером WebLogic.
   • Активируйте правила для блокировки запросов, содержащих известные сигнатуры эксплуатации CVE-2020-14882 и CVE-2020-14750 (например, строки, связанные с console.portal, com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext).

3. Отключите консоль администрирования на продакшн-серверах:

   • Если консоль не используется постоянно, остановите Admin Server. Управляемые серверы (Managed Servers) могут работать без него.
   • В крайнем случае, удалите или переименуйте приложение консоли (console.war) в директории развертывания. Это критичная операция, делайте только при полном понимании последствий.