CVE-2023-21839

Oracle WebLogic Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-05-01

Официальное описание

Oracle WebLogic Server contains an unspecified vulnerability that allows an unauthenticated attacker with network access via T3, IIOP, to compromise Oracle WebLogic Server.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-21839 — это критическая уязвимость в компоненте Oracle WebLogic Server, связанная с небезопасной десериализацией данных через протоколы T3 и IIOP. Злоумышленник, имеющий сетевой доступ к порту прослушивания WebLogic (по умолчанию 7001), может отправить специально сформированный запрос, не требующий аутентификации. Это позволяет удаленному пользователю получить доступ к чувствительной информации, манипулировать объектами через JNDI-ресурсы или, в определенных конфигурациях, добиться выполнения произвольного кода (RCE).

Как исправить

Основным способом устранения является установка актуального пакета обновлений (Critical Patch Update — CPU) от Oracle.

  1. Загрузите соответствующий патч для вашей версии WebLogic (12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0) из личного кабинета Oracle Support.
  2. Остановите все экземпляры WebLogic Server и Node Manager.
  3. Установите патч с помощью утилиты OPatch.
./opatch apply
  1. После успешной установки запустите серверы и проверьте версию примененного патча.
./opatch lsinventory

Временные меры

Если немедленная установка патча невозможна, необходимо ограничить доступ к уязвимым протоколам T3 и IIOP с помощью правил фильтрации соединений.

1. Настройка фильтра соединений (Connection Filter) В консоли администрирования WebLogic перейдите в: Security Realms -> myrealm -> Providers -> DefaultAuthenticator. Однако эффективнее настроить фильтр на уровне домена: Domain -> Security -> Filter.

Добавьте правило, разрешающее T3/T3S только доверенным IP-адресам и запрещающее остальным:

127.0.0.1 * * allow t3 t3s
<TRUSTED_IP> * * allow t3 t3s
0.0.0.0/0 * * deny t3 t3s

2. Отключение протокола IIOP Если ваша инфраструктура не использует IIOP, его следует полностью отключить. В консоли администрирования: Environment -> Servers -> [Server_Name] -> Protocols -> IIOP. Снимите галочку с "Enable IIOP".

3. Использование внешних средств защиты (Firewall/WAF) Настройте правила на сетевом экране или IPS для блокировки входящего трафика на порт 7001 (или другой порт управления), если запрос исходит из недоверенных сегментов сети.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей