CVE-2020-2883

Oracle WebLogic Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-01-07

Официальное описание

Oracle WebLogic Server, a product within the Fusion Middleware suite, contains an unspecified vulnerability exploitable by an unauthenticated attacker with network access via IIOP or T3.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2020-2883 — это критическая уязвимость удаленного выполнения кода (RCE) в компоненте Oracle WebLogic Server Core. Проблема связана с небезопасной десериализацией данных, передаваемых через протоколы T3 и IIOP.

Злоумышленник может отправить специально сформированный запрос, содержащий вредоносный сериализованный объект. При обработке этого объекта сервером (используя классы из библиотек Coherence или других доступных в classpath гаджетов), происходит выполнение произвольных команд в контексте учетной записи, под которой запущен WebLogic. Уязвимость не требует аутентификации и имеет оценку 9.8 по шкале CVSS v3.1.

Как исправить

Основным способом устранения является установка соответствующих патчей безопасности от Oracle (Critical Patch Update — CPU).

  1. Определите версию вашего WebLogic Server и установленные патчи.
. $DOMAIN_HOME/bin/setDomainEnv.sh && java weblogic.version

  1. Скачайте актуальный Patch Set Update (PSU) из личного кабинета My Oracle Support (MOS). Для данной уязвимости требуются патчи от апреля 2020 года или новее.

  2. Остановите все серверы (AdminServer и Managed Servers).

$DOMAIN_HOME/bin/stopWebLogic.sh
  1. Обновите утилиту OPatch до последней версии и примените патч.
opatch apply
  1. Запустите серверы и проверьте логи на отсутствие ошибок десериализации.
$DOMAIN_HOME/bin/startWebLogic.sh

Временные меры

Если немедленная установка патча невозможна, необходимо ограничить доступ к уязвимым протоколам.

1. Настройка фильтра соединений для протокола T3 Ограничьте доступ к порту администрирования только для доверенных IP-адресов через консоль администрирования (Base Hierarchy -> Security -> Network Connection Filters). Пример правила в файле конфигурации (запрет всем, кроме доверенного узла):

target localhost 7001 deny t3 t3s
target 127.0.0.1 7001 allow t3 t3s

2. Отключение протокола IIOP Если ваше приложение не использует RMI через IIOP, отключите его в консоли управления: Environment -> Servers -> [Server_Name] -> Protocols -> IIOP (снимите галочку "Enable IIOP").

3. Использование внешних средств защиты (WAF/IPS) Настройте правила на межсетевом экране прикладного уровня для блокировки входящего трафика по порту 7001 (или порту прослушивания WebLogic) из недоверенных сегментов сети, если доступ к консоли извне не требуется.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей