Se ha publicado un exploit de prueba de concepto (PoC) para la vulnerabilidad identificada como CVE-2024-21006, esto representa un riesgo significativo para la seguridad de los servidores Oracle WebLogic ya que facilita a los atacantes obtener acceso no autorizado a datos confidenciales o incluso tomar control total del servidor.
- CVE-2024-21006 (CVSS 7.5): Esta vulnerabilidad tiene su origen en los protocolos T3/IIOP de Oracle WebLogic Server. Los atacantes no autenticados pueden enviar solicitudes maliciosas para extraer información confidencial de los servidores afectados. La explotación de esta falla podría resultar en acceso no autorizado a datos críticos o incluso acceso completo a todos los datos accesibles en Oracle WebLogic Server.
El exploit se basa en el manejo inadecuado de la operación de búsqueda de un cliente en WebLogic Server. Específicamente, cuando una clase de destino que implementa la interfaz OpaqueReference está activada, su método getReferent podría desencadenar una inyección de Java Naming and Directory Interface (JNDI). Aunque Oracle ha implementado controles y restricciones en propiedades como java.naming.factory.initial y java.naming.provider.url para mitigar dichos riesgos, estas medidas fueron insuficientes para prevenir los exploits identificados.
Versiones afectadas:
- Oracle WebLogic Server 12.2.1.4.0
- Oracle WebLogic Server 14.1.1.0.0
Oracle ha dejado de dar mantenimiento a varias versiones anteriores de WebLogic Server, incluidas las versiones 10.3.6.0, 11.1.1.9 y 12.1.3.0, lo que aumenta el riesgo para las organizaciones que aún operan con estas versiones no compatibles.
Solución:
- Oracle insta a los usuarios a descargar e instalar los parches lo antes posible para garantizar una protección integral desde su sitio web oficial.
Workaround
Para aquellos que no pueden instalar las actualizaciones inmediatamente, se recomienda medidas de protección temporales:
- Restricción del acceso al protocolo T3:
Utilice el filtro de conexión predeterminado de WebLogic, weblogic.security.net.ConnectionFilterImpl, para controlar el acceso específicamente para los protocolos T3 y T3s.
- Deshabilitar el protocolo IIOP:
A través de la consola WebLogic, navegue hasta Service > AdminServer > Protocol, anule la selección de » Enable IIOP» y reinicie el servidor para aplicar este cambio de configuración.
Estas soluciones provisionales brindan protección contra posibles vulnerabilidades, pero no sustituyen las mejoras integrales de seguridad que ofrecen los parches oficiales.
Recomendaciones:
- Implementar las actualizaciones de seguridad proporcionadas por Oracle lo antes posible para mitigar completamente el riesgo de explotación.
- Aplicar las medidas de seguridad temporales en caso de no poder realizar la actualización de forma inmediata.
Referencias:
- https://nsfocusglobal-com.translate.goog/weblogic-t3-iiop-information-disclosure-vulnerability-cve-2024-21006-cve-2024-21007/?_x_tr_sl=en&_x_tr_tl=es&_x_tr_hl=es&_x_tr_pto=sc
- https://securityonline.info/poc-releases-for-cve-2024-21006-hackers-can-take-over-oracle-weblogic-server/
- https://www.oracle.com/security-alerts/cpuapr2024.html#AppendixFMW