Vulnerabilità in Servizi Oracle WebLogic

Proto: N040120.

Con la presente Yoroi desidera informarLa riguardo ad importanti vulnerabilità all’interno di Oracle WebLogic, application server alla base di numerose applicazioni e portali Enterprise fondati su Java. Le criticità sono note con l’identificativo CVE-2020-2551 e CVE-2020-2546.

A causa di gravi lacune nella gestione della de-serializzazione delle richieste client nelle componenti “WLS Core” e “Application Container - JavaEE” di WebLogic Server, in particolare all’interno delle implementazioni del protocolli IIOP (porta 3700) e T3 (porta 7001), un attaccante remoto non autenticato può eseguire codice arbitrario nei sistemi bersaglio compromettendone la sicurezza ed accedendovi abusivamente.

Figura. Potenziale esposizione internet del protocollo T3 di Oracle WebLogic (Fonte:ShodanHQ)

Oracle ha confermato le problematiche all’interno del bollettino Critical Patch Update CPUJAN2020, dove ha riportato come vulnerabili le versioni:

Considerata la tipologia di servizi afflitti e della relativa semplicità di sfruttamento segnalata dai ricercatori di sicurezza, Yoroi consiglia di valutare lo stato di vulnerabilità e di esposizione dei servizi afflitti, di pianificare l’applicazione le patch di sicurezza rese disponibili dal Produttore, e di valutare la disabilitazione o il filtraggio perimetrale dei protocolli IIOP e T3.

Figura. Disabilitazione protocollo IIOP.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index