CVE-2020-14883

Суть уязвимости

Уязвимость (CVE-2020-14883) в компоненте Console Oracle WebLogic Server позволяет неавторизованному удаленному злоумышленнику обходить аутентификацию и получать доступ к защищенным страницам администрирования. Это достигается путем отправки специально сформированного HTTP-запроса.

• Влияние на конфиденциальность: Получение несанкционированного доступа к данным и настройкам.
• Влияние на целостность: Возможность изменения конфигурации сервера и развертывания вредоносных приложений.
• Влияние на доступность: Возможность нарушения работы сервера.

Как исправить

Установите официальный патч от Oracle. Патч зависит от используемой версии WebLogic Server и версии JDK.

1. Определите свою версию WebLogic. Выполните команду в каталоге установки: bash cd /путь/к/weblogic . ./server/bin/setWLSEnv.sh java weblogic.version

2. Загрузите и установите соответствующий патч с портала поддержки Oracle (My Oracle Support). Критические исправления выпущены в рамках ежеквартального Critical Patch Update (CPU) за октябрь 2020 года.

   • Для WebLogic Server 12.2.1.4.0: Примените патч p32276130_122140_Generic или новее.
   • Для WebLogic Server 12.2.1.3.0: Примените патч p32276156_122130_Generic или новее.
   • Для WebLogic Server 12.1.3.0.0: Примените патч p32276168_121300_Generic или новее.
   • Для WebLogic Server 10.3.6.0.0: Примените патч p32276178_1036_Generic или новее.

3. Установите патч с помощью утилиты opatch. Пример: bash cd /путь/к/патчу $ORACLE_HOME/OPatch/opatch apply

4. Перезапустите все управляемые серверы и административный сервер.

Временное решение

Если немедленная установка патча невозможна, примите следующие меры:

1. Ограничьте сетевой доступ. Настройте групповые политики безопасности (Security Groups) или брандмауэр так, чтобы доступ к портам администрирования WebLogic (по умолчанию 7001) был разрешен только с доверенных IP-адресов (например, с jump-хоста). bash # Пример iptables для разрешения только с сети 10.0.1.0/24 iptables -A INPUT -p tcp --dport 7001 -s 10.0.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 7001 -j DROP

2. Настройте WAF (Web Application Firewall). Добавьте правило, блокирующее запросы, содержащие строки, связанные с эксплуатацией данной уязвимости (например, пути обхода аутентификации, такие как /console/css/ или /console/console.portal с определенными параметрами). Конкретные сигнатуры уточняйте у вендора WAF.

3. Отключите консоль администрирования на продакшн-серверах, если она не используется постоянно. Управление можно осуществлять через WLST (WebLogic Scripting Tool) или с выделенного административного хоста.