Oracle WebLogic Server

2024

В Oracle WebLogic обнаружена опасная уязвимость. ФСТЭК рекомендует пользователям срочно принять меры

ФСТЭК 19 августа разослала предупреждение об обнаружении опасной уязвимости BDU:2024-06272^[1] в сервере приложений Oracle WebLogic Server, которая позволяет посторонним за счет манипуляции протоколами взаимодействия T3 и IIOP в том числе выполнять вредоносные действия в ядре сервера. По классификации CVSS 3 уязвимость имеет уровень 9,8 из 10, что говорит о легкости ее эксплуатации и опасности дистанционного выполнения кода. Производитель подтвердил возможность эксплуатации уязвимости без аутентификации в версии 12.2.1.4.0 и 14.1.1.0.0. Причем для уязвимости есть публичный эксплойт^[2].

Как сказано в предупреждении ФСТЭК ошибка связана с недостаточно проверкой входных данных – сервер просто не проверяет на транспортном уровне пройдена ли процедура аутентификации. В результате, компонент Core сервера приложений Oracle Fusion Middleware дает посторонним возможность обратиться к нему напрямую по протоколам T3 и IIOP, которые отвечают за взаимодействие между сервером и клиентом, модифицировать системные ресурсы, украсть конфиденциальные данные или выполнить несанкционированный код.

Новая уязвимость компонента Core сервера приложений Oracle WebLogic Server — действительно значимая угроза и ею нельзя пренебрегать, – подтвердил для TAdviser опасность обнаруженной ошибки Артем Чернов, ведущий системный инженер в «К2 Кибербезопасность». – Она позволяет получить доступ из-за недостаточной проверки входных данных. Для эксплуатации уязвимости используются протоколы T3 и IIOP. Конечно, Oracle WebLogic — не самая популярная платформа, тем не менее продукты этого семейства используют десятки тысяч компаний по всему миру, в том числе и наши разработчики.

Для защиты сервера приложений Артем Чернов рекомендует рассмотреть возможность установки актуального Critical Patch Update, в котором эта уязвимость закрыта. Если же получить обновление все-таки не получится, то в качестве компенсирующих мер можно настроить дополнительные механизмы фильтрации и верификации вводимых данных для протокола T3, например JEP290, так как большинство WAF, например, не смогут помочь из-за используемого проприетарного протокола. Сама же ФСТЭК рекомендует еще более радикальные меры:

• использовать средства межсетевого экранирования для ограничения удалённого доступа к серверу;
• ограничить доступ по протоколу T3 только доверенными источниками или отключение протокола, если он не используется;
• отключить передачу по сети протокола IIOP при условии, что он не используется для работы приложений.

Следует отметить, что сервера приложений являются ключевыми элементами, которые атакуют хакеры, поскольку они одновременно имеют возможность исполнять различные высокоуровневые сценарии, а с другой – содержат, как правило, достаточно ценные данные. Вмешательство во взаимодействие работы брокера транзакций, для чего как раз и предназначены протоколы T3 и IIOP, особенно опасно, поскольку дает злоумышленникам прямой доступ к данным, накопленным в приложении. Наиболее опасные хакерские нападения последнего времени как раз и были связаны с атаками на подобные компоненты веб-приложений.

Власти США: Хакеры многие годы используют дырявое ПО Oracle для незаконной добычи криптовалют

В конце мая 2024 года Агентство по кибербезопасности и защите инфраструктуры (CISA) США сообщило о том, что китайские хакеры годами используют уязвимости в программном обеспечении Oracle для незаконной добычи криптовалют. Причем злоумышленники постоянно совершенствуют свои методы, что затрудняет их обнаружение и защиту от вторжений.

Преступным майнингом, как утверждается, занимается группировка 8220 Gang (также известная как 8220 Mining Group и Water Sigbin). Хакеры, в частности, эксплуатируют уязвимость CVE-2017-3506 (рейтинг опасности CVSS: 7,4), которая затрагивает платформу Oracle WebLogic Server. С помощью специально созданных HTTP-запросов злоумышленники могут получить несанкционированный доступ к системе и выполнить на ней произвольный программный код.

Специалисты компании Trend Micro отмечают, что группировка 8220 Gang применяет методы запутывания кода и сложные тактики для скрытной доставки вредоносных полезных нагрузок на атакуемые системы. Вкупе с эксплуатацией других дыр майнеры криптовалют внедряются на компьютеры под управлением Windows и Linux.

Группировка использует методы обфускации, такие как шестнадцатеричное кодирование URL-адресов и протокол HTTP через порт 443, что позволяет осуществлять незаметную доставку полезной нагрузки. Мы обнаружили попытки эксплуатации как на компьютерах с Linux, так и на Windows, — говорит специалист Trend Micro Сунил Бхарти (Sunil Bharti).

Известно, что группировка Water Sigbin действует как минимум с 2017 года. Она специализируется на развертывании вредоносного ПО в первую очередь в облачных средах и на серверах Linux. Постоянное развитие инструментов, тактик и процедур позволяет киберпреступникам скрывать свою деятельность и избегать обнаружения.^[3]

2020: Обнаружение уязвимости, позволяющей с помощью доступного из интернета сервисного URL-адреса подключиться к серверу

7 августа 2020 года Positive Technologies сообщила, что ее эксперт Арсений Шароглазов обнаружил уязвимость в серверах приложений Oracle WebLogic Server. С помощью доступного из интернета сервисного URL-адреса злоумышленники могут подключиться к системе, подобрать логин и пароль для доступа и осуществить удаленное считывание файлов (remote file reading). Продукты семейства Oracle WebLogic используются десятки тысяч компаний по всему миру.

Уязвимости CVE-2020-14622 присвоена средняя степень опасности по шкале CVSS (Базовая оценка: 4,9).

Проблема усугубляется тем фактом, что многие системные администраторы не подозревают о существовании данного URL и комбинации стандартного логина и пароля для доступа к нему. Обычно административная панель WebLogic расположена на отдельном порте и недоступна из интернета, а конфигурация системы устанавливается с помощью специальных скриптов, в которых содержатся дефолтные данные для доступа к сервисному URL.Сергей Петренко, МТС RED: ИБ-игроки строят экосистемы, чтобы обеспечить заказчика интегрированными средствами защиты 3 т

С помощью данного недостатка безопасности злоумышленники могут получить доступ к Oracle WebLogic Server и считывать любые файлы, находящиеся на сервере. В зависимости от организации, которой принадлежит сервер, на нем могут находиться персональные данные пользователей, конфигурационные файлы важных систем, исходные коды приложений, в которых также могут быть обнаружены уязвимости.

Для проведения атаки злоумышленнику достаточно обладать средней квалификацией. Обнаружить уязвимость можно с помощью автоматизированных систем сканирования, а для ее эксплуатации взломщику придется написать несложный код на языке Java.

В ходе проектов по анализу защищенности мы встречали данную уязвимость в банковских системах, сертифицированных под PSI DSS, — говорит исследователь Positive Technologies Арсений Шароглазов. — Это сложные системы: строится DMZ, куда устанавливают несколько серверов, в том числе несколько WebLogic, SQL-базы, все это изолируется и аудируется, ставятся проксирующий nginx и WAF, но администраторы не знают про возможность доступа к инфраструктуре с помощью сервисного URL, и это подрывает защиту.

Для снижения рисков, связанных с эксплуатацией уязвимости CVE-2020-14622, эксперты Positive Technologies рекомендуют установить обновление безопасности, выпущенное Oracle, а также сменить стандартный пароль для доступа к сервисному URL. Помимо этого компании, использующие в своей инфраструктуре продукты Oracle WebLogic Server, могут снизить риски эксплуатации уязвимости CVE-2020-14622 с помощью регулярного тестирования на проникновение и использования специализированных средств защиты.

2013: Oracle WebLogic Server 12.1.2

О выходе новой версии сервера приложений Oracle WebLogic Server 12.1.2 сообщила корпорация Oracle 5 августа 2013 года.

Oracle WebLogic Server оптимизирован для работы на Oracle Exalogic Elastic Cloud, входящем в семейство оптимизированных программно-аппаратных комплексов Oracle Engineered Systems

Новое в функционале

• Новая версия Oracle WebLogic Server 12.1.2 использует динамическую кластеризацию для большей «гибкости облака» и эффективного управления ресурсами, упрощает администрирование Java Messaging Service (JMS).
• Полная сертифицированная поддержка и интеграция с Oracle Database 12c, включая поддержку доступа к консолидированным базам данных в мультиарендной архитектуре, а также обеспечение непрерывности работы приложений и высокой доступности данных.
• Расширена поддержка Apache Maven для управления версиями и жизненным циклом, реализована поддержка HTML5, Java и WebSockets для разработки мобильных и кросс-платформенных приложений.
• Сервер предоставляет декларативный, основанный на JSON или XML доступ к корпоративным источникам данных через интерфейс распределенных приложений REST (Representational State Transfer) с использованием сервисов Oracle TopLink.

2011: Oracle WebLogic Server 12c

Корпорация Oracle сообщила в декабре 2011 года о выпуске Oracle WebLogic Server 12c — новой версии сервера приложений для традиционных систем, оптимизированных программно-аппаратных комплексов и сред облачных вычислений. Являясь ключевой частью платформы Oracle Cloud Application Foundation и ядром семейства Oracle Fusion Middleware, Oracle WebLogic Server продолжает предоставлять новые инновационные возможности для создания, развертывания и выполнения приложений Java EE (Java Platform, Enterprise Edition).

Новая версия Oracle WebLogic Server 12c предлагает важные расширения и улучшения, призванные помочь клиентам и партнерам снизить совокупную стоимость владения и получать большую отдачу от существующей инфраструктуры приложений при одновременном ускорении цикла разработки и сокращении сроков вывода на рынок новых приложений.

Oracle WebLogic Server 12c сертифицирован для полной спецификации платформы Java EE 6, что обеспечивает повышенную эффективность работы разработчиков с современными, основанными на стандартах API-интерфейсами, включая Servlet 3.0, JAX-RS 1.1, Java Server Faces 2.1, EJB 3.1, Context and Dependency Injection for Java и многие другие. Кроме того, разработчики на платформе Oracle WebLogic Server могут теперь использовать функции Java Platform Standard Edition (Java SE) 7 для создания более качественного и удобного для сопровождения программного кода.

Oracle WebLogic Server 12c предоставляет полную поддержку управления зависимостями и унифицированного процесса сборки через обновленный подключаемый модуль для Apache Maven. В то же время, сервер приложений новой версии напрямую интегрируется с Oracle Traffic Director (OTD), новым компонентом семейства Oracle Fusion Middleware, что добавляет возможности маршрутизации трафика приложений с высоким уровнем производительности и доступности, динамически настраиваемого кэширования и балансировки нагрузки, а также поддерживает прокси для HTTP-приложений. Кроме того, технология Oracle Virtual Assembly Builder, используя графический инструментарий и открытые API-интерфейсы веб-сервисов на базе модели поставки PaaS («платформа как услуга»), обеспечивает упрощенное конфигурирование и компоновку многоуровневых корпоративных приложений в средах, виртуализованных с помощью Oracle VM.

«С выпуском новой версии Oracle WebLogic Server 12c клиенты могут использовать сервер приложений для получения большей отдачи от существующей инфраструктуры, для упрощения развертывания и управления приложениями, а также для ускорения вывода на рынок новых приложений через повышение эффективности работы разработчиков, — отметил Кэмерон Парди (Cameron Purdy), вице-президент Oracle по разработке. — Кроме того, благодаря Oracle WebLogic Server 12c клиенты смогут лучше освоить облачные вычисления и использовать свою инфраструктуру для создания частных и публичных облачных архитектур и затем с легкостью переключаться между внутренней и внешней инфраструктурой по мере изменения потребностей».

По словам разработчиков, клиенты могут использовать Oracle WebLogic Server 12c в для решения наиболее важных и критичных для бизнеса задач благодаря высокой безопасности и готовности этой платформы. Улучшенная интеграция между Oracle WebLogic Server и Oracle Real Application Clusters (RAC) позволяет автоматически выявлять и корректировать сбои узлов (разделов) базы данных для поддержки высокой производительности и более простого управления.

В свою очередь, новые функции аварийного восстановления позволяют клиентам хранить данные в файлах или в базе данных, включая опцию сохранения журнала транзакций в базе данных. Это дает возможность использовать интегрированные в базу данных технологии согласованной репликации совместно с Oracle GoldenGate и Oracle Active Data Guard для всех динамических данных приложений, включая журналы регистрации онлайн-активности, журналы службы передачи сообщений Java Message Services (JMS) и журналы транзакций, пояснили в Oracle.

Среди других особенностей Oracle WebLogic Server 12c следует также отметить поддержку криптографического протокола Transport Layer Security (TLS) 1.2 (преемника протокола Secure Sockets Layer/SSL), повышающую безопасность приложений.

Oracle WebLogic Server оптимизирован для применения в качестве высокопроизводительной и эластичной облачной инфраструктуры для поддержки выполнения критически важных корпоративных приложений на Oracle Exalogic Elastic Cloud — программно-аппаратном комплексе для облачных вычислений. Сервер приложений Oracle является также ключевым компонентом Oracle Java Cloud Service — корпоративной платформы для разработки, развертывания и управления критически важными бизнес-приложениями Java EE.

2010: Состав Oracle WebLogic Server

Разработанный корпорацией Oracle Oracle WebLogic Server создан на платформе продуктов семейства Java EE и на декабрь 2010 года включает в себя:

• сервер приложений Java EE, WebLogic Application Server
• портал предприятия, WebLogic Portal
• платформа интеграции корпоративных приложений
• сервер транзакций и инфраструктуры, WebLogic Tuxedo
• телекоммуникационная платформа,WebLogic Communication Platform
• HTTP веб-сервер

Примечания