Vulnerabilidad crítica en Oracle WebLogic Server

Se descubrió una vulnerabilidad de divulgación de información en Oracle WebLogic Server, identificada como CVE-2023-21839 con puntación CVSS de 7.5, que podría conducir a la ejecución de remota de código.

Los atacantes pueden explotar esta vulnerabilidad a través del protocolo de red T3/IIOP, que se utiliza para transferir información entre servidores WebLogic y otros programas Java, permitiéndoles obtener acceso no autorizado a datos críticos o incluso tomar control total del servidor.

La vulnerabilidad afecta a las siguientes versiones de Oracle WebLogic Server:

  • 12.2.1.3.0
  • 12.2.1.4.0
  • 14.1.1.0.0

Esta vulnerabilidad está siendo explotada activamente, debido a que también existe una PoC que muestra cómo realizar un ataque exitoso, por lo que es importante que las organizaciones tomen acciones lo antes posible para proteger sus sistemas.

La explotación exitosa de esta vulnerabilidad puede permitir que un atacante no autenticado envíe una solicitud manipulada a un servidor WebLogic vulnerable y cargue un archivo a través de un servidor LDAP. El atacante puede aprovechar esto para ejecutar shells inversos en el objetivo vulnerable, comprometiendo la confidencialidad, integridad y disponibilidad de la organización.

Mitigación

Oracle ha lanzado un parche para abordar esta vulnerabilidad, en su aviso de actualización de parches críticos.

Workaround

Si no puede implementar el parche inmediatamente, se puede bloquear de forma temporal el acceso externo al protocolo T3/T3s en el puerto 7001 mediante un filtro de conexión.

El filtro de conexión se puede implementar accediendo a la consola de WebLogic y navegando a

“base_domain” -> “Monitoreo” -> “AdminServer” -> “Protocolo” -> “IIOP” y desmarcando “Habilitar IIOP”.

Un filtro de conexión puede bloquear el acceso externo al protocolo T3/T3s. La regla de filtro se puede agregar al archivo de configuración, como se muestra en el siguiente ejemplo:

0.0.0.0/0 * 7001 denegar t3 t3s #denegar todo acceso

Para permitir el acceso desde direcciones IP o subredes específicas, utilice el siguiente formato:

<dirección IP/subred> * 7001 permitir t3 t3s #permitir acceso

<dirección IP/subred> * 7001 denegar t3 t3s #denegar acceso

Recomendaciones

  • Aplicar los últimos parches proporcionados por el proveedor.
  • En caso de no poder implementar las actualizaciones, optar por el workaround para proteger los sistemas de la organización.
  • También se recomienda seguir las mejores prácticas para proteger los servidores de WebLogic, como usar una autenticación fuerte, limitar el acceso a la consola y monitorear el tráfico de la red.

Referencias