CVE-2020-2551

Oracle Fusion Middleware

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-11-16

Официальное описание

Oracle Fusion Middleware contains an unspecified vulnerability in the WLS Core Components that allows an unauthenticated attacker with network access via IIOP to compromise the WebLogic Server.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2020-2551 — это критическая уязвимость (CVSS 9.8), связанная с небезопасной десериализацией данных в компоненте WLS Core Components сервера Oracle WebLogic. Проблема возникает из-за того, что протокол IIOP (Internet Inter-ORB Protocol) по умолчанию позволяет неавторизованному злоумышленнику передавать специально сформированные объекты. При обработке этих объектов сервер выполняет произвольный код (RCE) в контексте учетной записи, под которой запущен WebLogic, что ведет к полному компрометации системы.

Как исправить

Основным способом устранения является установка официального пакета обновлений безопасности (Critical Patch Update — CPU) от Oracle.

  1. Определите текущую версию WebLogic Server и наличие установленных патчей:
java weblogic.version
  1. Скачайте соответствующий патч из личного кабинета Oracle Support (требуется активная поддержка). Для данной уязвимости исправления включены в накопительные обновления (Patch Set Update — PSU) от января 2020 года и более поздние.
  2. Остановите все экземпляры WebLogic Server и Node Manager.
  3. Установите патч с помощью утилиты OPatch:
opatch apply
  1. Запустите сервер и проверьте логи на отсутствие ошибок инициализации IIOP.

Временные меры

Если немедленная установка патча невозможна, необходимо ограничить вектор атаки путем фильтрации трафика или отключения протокола IIOP.

Вариант 1: Отключение протокола IIOP Если ваша инфраструктура не использует IIOP для взаимодействия между серверами или клиентами: 1. Зайдите в консоль администрирования WebLogic (Admin Console). 2. Перейдите в раздел: Environment -> Servers -> [Имя сервера] -> Protocols -> IIOP. 3. Снимите галочку с пункта "Enable IIOP". 4. Сохраните изменения и перезагрузите сервер.

Вариант 2: Настройка Connection Filter (Белые списки) Если IIOP необходим, настройте фильтр соединений, чтобы разрешить доступ только доверенным IP-адресам: 1. В Admin Console перейдите в: [Имя домена] -> Security -> Network Channels. 2. В поле "Connection Filter" укажите стандартный фильтр:

weblogic.security.net.ConnectionFilterImpl
  1. В поле "Connection Filter Rules" добавьте правила, разрешающие доступ только нужным узлам и блокирующие IIOP для остальных:
127.0.0.1 * * allow
<TRUSTED_IP> * * allow
* * * deny t3 t3s iiop iiops

Вариант 3: Сетевое экранирование Настройте внешний Firewall или IPS для блокировки входящего трафика на порт WebLogic (по умолчанию 7001) по протоколу IIOP, если запросы приходят из недоверенных сегментов сети.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей