Aus aktuellem Anlass möchten wir alle Kunden, die das Produkt Oracle Weblogic einsetzen, auf die folgenden bestehenden Sicherheitsrisiken aufmerksam machen.

Aktuell sind zwei Common Vulnerabilities and Exposures (CVEs) bekannt, die erhebliche Sicherheitsrisiken für existierende Installationen der o.g. Produkte haben.

Hintergrund CVE: CVEs vereinfachen die Identifizierung von Oracle-Schwachstellen, wenn in externen Sicherheitsberichten darauf verwiesen wird, z.B. von Sicherheitsforschern und Schwachstellenmanagementsystemen.

Konkret handelt es sich hierbei um die folgenden CVEs:

CVE-2020-14882

CVE-2020-14750

Beschreibung, Bewertung und Status

Die beiden bekannten Weblogic Server Schwachstellen CVE-2020-14750 und CVE-2020-14882 wurden mit einem Score von 9.8 von 10 und damit als High Critical eingestuft.
Über die URL der Konsolenkomponente (/console) des Weblogic AdminServers kann der Angreifer privilegierten Zugriff auf das darunterliegende Betriebssystem erlangen.

Besonders kritisch ist hierbei, dass nicht authentifizierte Angreifer über diesen Remote Code Execution (RCE)-Fehler ohne Authentifizierung in der Konsolenkomponente des Servers über http (d.h. ohne Angabe eines Benutzeraccounts) über das Netzwerk zugreifen können, um hier potenziell Server zu übernehmen. Davon sind alle bekannten Weblogic Versionen betroffen.

Deshalb raten wir dringend allen Kunden, die Oracle Weblogic einsetzen, zeitnah ihre betroffenen Systeme zu patchen, um diese gravierenden Sicherheitslücken zu schließen (s. Liste Patching-Eempfehlungen).

Präventive Maßnahmen

Als temporäre Lösung zur schnellen Abhilfe können folgende Maßnahmen angewendet werden:

  • Oracle Weblogic AdminServer deaktivieren, bzw. den Zugang zur Adminkonsole durch Konfigurationsanpassung sperren
  • Entfernung des Admin-Portals aus dem öffentlichen Internet
  • Überprüfung von Anwendungsprotokollen auf HTTP-Anforderungen, die den doppelt codierten Pfaddurchlauf: %252E%252E%252F und das Administratorportal console.portal im Anforderungs-URI enthalten (weitere Möglichkeiten denkbar)
  • Überwachung des Netzwerkverkehrs auf verdächtige HTTP-Anforderungen (falls möglich)
  • Überwachung auf verdächtige Prozesse, die von der Anwendung erstellt wurden

Detaillierte Weblogic Security-Maßnahmen hier: https://docs.oracle.com/en/middleware/standalone/weblogic-server/14.1.1.0/lockd/secure.html#GUID-F980DB67-7CDE-4EF8-986D-D188D4EDB706

Solution / Patching-Empfehlungen

Die Sicherheitslücken betreffen alle Versionen des Oracle Weblogic Servers (10.3.6 „“ 14.1.1) und damit alle Kunden, die den Weblogic Server als Application-Server und Grundlage für Oracle Fusion Produkte wie z.B. die folgenden verwenden:

  • Oracle SOA Suite
  • Oracle Access Manager / IDM
  • Oracle ODI
  • Oracle BI-Publisher
  • Oracle Forms/Reports
  • „¦

Weiterhin betroffen sind auch folgende Systeme/Software, die Weblogic intern verwenden und separat zu behandeln sind:

  • Exadata Systems (prüfen Patches über MOS-Note: 888828.1)
  • Oracle EM Cloud Control (abweichende Patchmechanismen)

Um die Weblogic Sicherheitslücken zu schließen, ist zeitnah das jeweilige Weblogic CPU von Oktober 2020 einzuspielen, sowie additional dazu der jeweilige Overlay Patch, (siehe Liste unten):

Oracle WebLogic Server 10.3.6

  • WLS PATCH SET UPDATE 10.3.6.0.201020, Patch 31641257
  • Overlay Patch 32097188 für CVE-2020-14750

Oracle WebLogic Server 12.1.3

  • WLS PATCH SET UPDATE 12.1.3.0.201020, Patch 31656851
  • Overlay Patch 32097177 für CVE-2020-14750

Oracle WebLogic Server 12.2.1.3

  • WLS PATCH SET UPDATE 12.2.1.2.201001, Patch 31961038
  • Overlay Patch 32097173 für CVE-2020-14750

Oracle WebLogic Server 12.2.1.4

  • WLS PATCH SET UPDATE 12.2.1.4.201001, Patch 31960985
  • Overlay Patch 32097167 für CVE-2020-14750

Oracle WebLogic Server 14.1.1

  • WLS PATCH SET UPDATE 14.1.1.0.200930, Patch 31957062
  • Overlay Patch 32097180 für CVE-2020-14750

EM Cloud Control

  • Der Enterprise Manager nutzt ebenso den Weblogic Server als Grundlage, hier sind die aktuellsten EM-Release Updates einzuspielen! Stand 10.11.2020 muss hierzu die opatch Version aktualisiert werden.

Exadata-Systeme

  • für Exadata Systeme, die Weblogic intern verwenden, kann über MOS-Note: 888828.1 recherchiert werden
  • aktuell sind uns hier aber noch keine Fälle bekannt geworden.

Gern unterstützen wir Sie bei der Planung und Durchführung der notwendigen Updates. Sprechen Sie uns gerne an, und reagieren Sie zeitnah um weitere Probleme zu vermeiden!

Alle Beiträge von Michael Schulze

Schreibe einen Kommentar