CVE-2020-2555

Oracle Multiple Products

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Multiple Oracle products contain a remote code execution vulnerability that allows an unauthenticated attacker with network access via T3 or HTTP to takeover the affected system. Impacted Oracle products: Oracle Coherence in Fusion Middleware, Oracle Utilities Framework, Oracle Retail Assortment Planning, Oracle Commerce, Oracle Communications Diameter Signaling Router (DSR).

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в компоненте Oracle Coherence позволяет удаленному злоумышленнику без аутентификации выполнить произвольный код на целевой системе. Атака осуществляется через протоколы T3 (порт по умолчанию 7001) или HTTP. Эксплуатация приводит к полному захвату контроля над сервером.

Как исправить

Установите официальные патчи от Oracle. Критическое обновление исправляет уязвимость в ядре Coherence (CVE-2020-2555).

  1. Определите точную версию вашего продукта (например, Oracle Coherence, WebLogic Server, Oracle Commerce).
  2. Загрузите и установите соответствующий патч из базы знаний Oracle (My Oracle Support). Патчи выпущены в рамках критического обновления CPU за январь 2020 года.
    • Для Oracle Coherence 3.7.1.0: примените патч 31664702.
    • Для Oracle Coherence 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0: примените патч 31602848.

  3. Процедура установки (общий пример для Coherence/WebLogic): ```bash # Остановите сервер (WebLogic Admin Server и Managed Servers) ./stopWebLogic.sh

    Перейдите в каталог установки и примените патч с помощью OPatch

    cd /oracle/middleware/home opatch apply

    Запустите сервер

    ./startWebLogic.sh ``` Всегда сверяйтесь с официальной инструкцией (README) к конкретному патчу.

Временное решение

Если немедленная установка патча невозможна, примите следующие меры для снижения риска:

  1. Ограничьте сетевой доступ к уязвимым портам (T3/HTTP) с помощью брандмауэра. Разрешите подключения только с доверенных IP-адресов, необходимых для работы. bash # Пример для iptables (Linux): запрет входящего T3-трафика (порт 7001) извне iptables -A INPUT -p tcp --dport 7001 -s ! <trusted_network> -j DROP

  2. Заблокируйте протокол T3 на уровне WebLogic Server, если он не используется.

    • В консоли администрирования (http://<server>:7001/console) перейдите в Environment -> Servers -> [Ваш сервер] -> Protocols -> General.
    • Установите "Enabled" для протокола T3 в состояние false.
    • Или ограничьте разрешенных клиентов, задав в параметре -Dweblogic.security.allowT3DefaultUserName только доверенные хосты.

  3. Настройте правила в WAF (Web Application Firewall) для блокировки вредоносных десериализационных атак, направленных на известные сигнатуры этой уязвимости.

  4. Изолируйте затронутые системы в отдельном сегменте сети (VLAN).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей