Oracle WebLogic Server

Продукт
Разработчики: Oracle
Дата последнего релиза: 2020/08/07
Технологии: Корпоративные порталы,  Серверные платформы

Содержание

2024

В Oracle WebLogic обнаружена опасная уязвимость. ФСТЭК рекомендует пользователям срочно принять меры

ФСТЭК 19 августа разослала предупреждение об обнаружении опасной уязвимости BDU:2024-06272[1] в сервере приложений Oracle WebLogic Server, которая позволяет посторонним за счет манипуляции протоколами взаимодействия T3 и IIOP в том числе выполнять вредоносные действия в ядре сервера. По классификации CVSS 3 уязвимость имеет уровень 9,8 из 10, что говорит о легкости ее эксплуатации и опасности дистанционного выполнения кода. Производитель подтвердил возможность эксплуатации уязвимости без аутентификации в версии 12.2.1.4.0 и 14.1.1.0.0. Причем для уязвимости есть публичный эксплойт[2].

Как сказано в предупреждении ФСТЭК ошибка связана с недостаточно проверкой входных данных – сервер просто не проверяет на транспортном уровне пройдена ли процедура аутентификации. В результате, компонент Core сервера приложений Oracle Fusion Middleware дает посторонним возможность обратиться к нему напрямую по протоколам T3 и IIOP, которые отвечают за взаимодействие между сервером и клиентом, модифицировать системные ресурсы, украсть конфиденциальные данные или выполнить несанкционированный код.

«
Новая уязвимость компонента Core сервера приложений Oracle WebLogic Server — действительно значимая угроза и ею нельзя пренебрегать, – подтвердил для TAdviser опасность обнаруженной ошибки Артем Чернов, ведущий системный инженер в «К2 Кибербезопасность». – Она позволяет получить доступ из-за недостаточной проверки входных данных. Для эксплуатации уязвимости используются протоколы T3 и IIOP. Конечно, Oracle WebLogic — не самая популярная платформа, тем не менее продукты этого семейства используют десятки тысяч компаний по всему миру, в том числе и наши разработчики.
»

Для защиты сервера приложений Артем Чернов рекомендует рассмотреть возможность установки актуального Critical Patch Update, в котором эта уязвимость закрыта. Если же получить обновление все-таки не получится, то в качестве компенсирующих мер можно настроить дополнительные механизмы фильтрации и верификации вводимых данных для протокола T3, например JEP290, так как большинство WAF, например, не смогут помочь из-за используемого проприетарного протокола. Сама же ФСТЭК рекомендует еще более радикальные меры:

  • использовать средства межсетевого экранирования для ограничения удалённого доступа к серверу;
  • ограничить доступ по протоколу T3 только доверенными источниками или отключение протокола, если он не используется;
  • отключить передачу по сети протокола IIOP при условии, что он не используется для работы приложений.

Следует отметить, что сервера приложений являются ключевыми элементами, которые атакуют хакеры, поскольку они одновременно имеют возможность исполнять различные высокоуровневые сценарии, а с другой – содержат, как правило, достаточно ценные данные. Вмешательство во взаимодействие работы брокера транзакций, для чего как раз и предназначены протоколы T3 и IIOP, особенно опасно, поскольку дает злоумышленникам прямой доступ к данным, накопленным в приложении. Наиболее опасные хакерские нападения последнего времени как раз и были связаны с атаками на подобные компоненты веб-приложений.

Власти США: Хакеры многие годы используют дырявое ПО Oracle для незаконной добычи криптовалют

В конце мая 2024 года Агентство по кибербезопасности и защите инфраструктуры (CISA) США сообщило о том, что китайские хакеры годами используют уязвимости в программном обеспечении Oracle для незаконной добычи криптовалют. Причем злоумышленники постоянно совершенствуют свои методы, что затрудняет их обнаружение и защиту от вторжений.

Преступным майнингом, как утверждается, занимается группировка 8220 Gang (также известная как 8220 Mining Group и Water Sigbin). Хакеры, в частности, эксплуатируют уязвимость CVE-2017-3506 (рейтинг опасности CVSS: 7,4), которая затрагивает платформу Oracle WebLogic Server. С помощью специально созданных HTTP-запросов злоумышленники могут получить несанкционированный доступ к системе и выполнить на ней произвольный программный код.

Специалисты компании Trend Micro отмечают, что группировка 8220 Gang применяет методы запутывания кода и сложные тактики для скрытной доставки вредоносных полезных нагрузок на атакуемые системы. Вкупе с эксплуатацией других дыр майнеры криптовалют внедряются на компьютеры под управлением Windows и Linux.

«
Группировка использует методы обфускации, такие как шестнадцатеричное кодирование URL-адресов и протокол HTTP через порт 443, что позволяет осуществлять незаметную доставку полезной нагрузки. Мы обнаружили попытки эксплуатации как на компьютерах с Linux, так и на Windows, — говорит специалист Trend Micro Сунил Бхарти (Sunil Bharti).
»

Известно, что группировка Water Sigbin действует как минимум с 2017 года. Она специализируется на развертывании вредоносного ПО в первую очередь в облачных средах и на серверах Linux. Постоянное развитие инструментов, тактик и процедур позволяет киберпреступникам скрывать свою деятельность и избегать обнаружения.[3]

2020: Обнаружение уязвимости, позволяющей с помощью доступного из интернета сервисного URL-адреса подключиться к серверу

7 августа 2020 года Positive Technologies сообщила, что ее эксперт Арсений Шароглазов обнаружил уязвимость в серверах приложений Oracle WebLogic Server. С помощью доступного из интернета сервисного URL-адреса злоумышленники могут подключиться к системе, подобрать логин и пароль для доступа и осуществить удаленное считывание файлов (remote file reading). Продукты семейства Oracle WebLogic используются десятки тысяч компаний по всему миру.

Уязвимости CVE-2020-14622 присвоена средняя степень опасности по шкале CVSS (Базовая оценка: 4,9).

Проблема усугубляется тем фактом, что многие системные администраторы не подозревают о существовании данного URL и комбинации стандартного логина и пароля для доступа к нему. Обычно административная панель WebLogic расположена на отдельном порте и недоступна из интернета, а конфигурация системы устанавливается с помощью специальных скриптов, в которых содержатся дефолтные данные для доступа к сервисному URL.CommuniGate Pro: итоги первого года работы законного правообладателя 2.6 т

С помощью данного недостатка безопасности злоумышленники могут получить доступ к Oracle WebLogic Server и считывать любые файлы, находящиеся на сервере. В зависимости от организации, которой принадлежит сервер, на нем могут находиться персональные данные пользователей, конфигурационные файлы важных систем, исходные коды приложений, в которых также могут быть обнаружены уязвимости.

Для проведения атаки злоумышленнику достаточно обладать средней квалификацией. Обнаружить уязвимость можно с помощью автоматизированных систем сканирования, а для ее эксплуатации взломщику придется написать несложный код на языке Java.

«
В ходе проектов по анализу защищенности мы встречали данную уязвимость в банковских системах, сертифицированных под PSI DSS, — говорит исследователь Positive Technologies Арсений Шароглазов. — Это сложные системы: строится DMZ, куда устанавливают несколько серверов, в том числе несколько WebLogic, SQL-базы, все это изолируется и аудируется, ставятся проксирующий nginx и WAF, но администраторы не знают про возможность доступа к инфраструктуре с помощью сервисного URL, и это подрывает защиту.
»

Для снижения рисков, связанных с эксплуатацией уязвимости CVE-2020-14622, эксперты Positive Technologies рекомендуют установить обновление безопасности, выпущенное Oracle, а также сменить стандартный пароль для доступа к сервисному URL. Помимо этого компании, использующие в своей инфраструктуре продукты Oracle WebLogic Server, могут снизить риски эксплуатации уязвимости CVE-2020-14622 с помощью регулярного тестирования на проникновение и использования специализированных средств защиты.

2013: Oracle WebLogic Server 12.1.2

О выходе новой версии сервера приложений Oracle WebLogic Server 12.1.2 сообщила корпорация Oracle 5 августа 2013 года.

Oracle WebLogic Server оптимизирован для работы на Oracle Exalogic Elastic Cloud, входящем в семейство оптимизированных программно-аппаратных комплексов Oracle Engineered Systems

Новое в функционале

  • Новая версия Oracle WebLogic Server 12.1.2 использует динамическую кластеризацию для большей «гибкости облака» и эффективного управления ресурсами, упрощает администрирование Java Messaging Service (JMS).
  • Полная сертифицированная поддержка и интеграция с Oracle Database 12c, включая поддержку доступа к консолидированным базам данных в мультиарендной архитектуре, а также обеспечение непрерывности работы приложений и высокой доступности данных.
  • Расширена поддержка Apache Maven для управления версиями и жизненным циклом, реализована поддержка HTML5, Java и WebSockets для разработки мобильных и кросс-платформенных приложений.
  • Сервер предоставляет декларативный, основанный на JSON или XML доступ к корпоративным источникам данных через интерфейс распределенных приложений REST (Representational State Transfer) с использованием сервисов Oracle TopLink.

2011: Oracle WebLogic Server 12c

Корпорация Oracle сообщила в декабре 2011 года о выпуске Oracle WebLogic Server 12c — новой версии сервера приложений для традиционных систем, оптимизированных программно-аппаратных комплексов и сред облачных вычислений. Являясь ключевой частью платформы Oracle Cloud Application Foundation и ядром семейства Oracle Fusion Middleware, Oracle WebLogic Server продолжает предоставлять новые инновационные возможности для создания, развертывания и выполнения приложений Java EE (Java Platform, Enterprise Edition).

Новая версия Oracle WebLogic Server 12c предлагает важные расширения и улучшения, призванные помочь клиентам и партнерам снизить совокупную стоимость владения и получать большую отдачу от существующей инфраструктуры приложений при одновременном ускорении цикла разработки и сокращении сроков вывода на рынок новых приложений.

Oracle WebLogic Server 12c сертифицирован для полной спецификации платформы Java EE 6, что обеспечивает повышенную эффективность работы разработчиков с современными, основанными на стандартах API-интерфейсами, включая Servlet 3.0, JAX-RS 1.1, Java Server Faces 2.1, EJB 3.1, Context and Dependency Injection for Java и многие другие. Кроме того, разработчики на платформе Oracle WebLogic Server могут теперь использовать функции Java Platform Standard Edition (Java SE) 7 для создания более качественного и удобного для сопровождения программного кода.

Oracle WebLogic Server 12c предоставляет полную поддержку управления зависимостями и унифицированного процесса сборки через обновленный подключаемый модуль для Apache Maven. В то же время, сервер приложений новой версии напрямую интегрируется с Oracle Traffic Director (OTD), новым компонентом семейства Oracle Fusion Middleware, что добавляет возможности маршрутизации трафика приложений с высоким уровнем производительности и доступности, динамически настраиваемого кэширования и балансировки нагрузки, а также поддерживает прокси для HTTP-приложений. Кроме того, технология Oracle Virtual Assembly Builder, используя графический инструментарий и открытые API-интерфейсы веб-сервисов на базе модели поставки PaaS («платформа как услуга»), обеспечивает упрощенное конфигурирование и компоновку многоуровневых корпоративных приложений в средах, виртуализованных с помощью Oracle VM.

«С выпуском новой версии Oracle WebLogic Server 12c клиенты могут использовать сервер приложений для получения большей отдачи от существующей инфраструктуры, для упрощения развертывания и управления приложениями, а также для ускорения вывода на рынок новых приложений через повышение эффективности работы разработчиков, — отметил Кэмерон Парди (Cameron Purdy), вице-президент Oracle по разработке. — Кроме того, благодаря Oracle WebLogic Server 12c клиенты смогут лучше освоить облачные вычисления и использовать свою инфраструктуру для создания частных и публичных облачных архитектур и затем с легкостью переключаться между внутренней и внешней инфраструктурой по мере изменения потребностей».

По словам разработчиков, клиенты могут использовать Oracle WebLogic Server 12c в для решения наиболее важных и критичных для бизнеса задач благодаря высокой безопасности и готовности этой платформы. Улучшенная интеграция между Oracle WebLogic Server и Oracle Real Application Clusters (RAC) позволяет автоматически выявлять и корректировать сбои узлов (разделов) базы данных для поддержки высокой производительности и более простого управления.

В свою очередь, новые функции аварийного восстановления позволяют клиентам хранить данные в файлах или в базе данных, включая опцию сохранения журнала транзакций в базе данных. Это дает возможность использовать интегрированные в базу данных технологии согласованной репликации совместно с Oracle GoldenGate и Oracle Active Data Guard для всех динамических данных приложений, включая журналы регистрации онлайн-активности, журналы службы передачи сообщений Java Message Services (JMS) и журналы транзакций, пояснили в Oracle.

Среди других особенностей Oracle WebLogic Server 12c следует также отметить поддержку криптографического протокола Transport Layer Security (TLS) 1.2 (преемника протокола Secure Sockets Layer/SSL), повышающую безопасность приложений.

Oracle WebLogic Server оптимизирован для применения в качестве высокопроизводительной и эластичной облачной инфраструктуры для поддержки выполнения критически важных корпоративных приложений на Oracle Exalogic Elastic Cloud — программно-аппаратном комплексе для облачных вычислений. Сервер приложений Oracle является также ключевым компонентом Oracle Java Cloud Service — корпоративной платформы для разработки, развертывания и управления критически важными бизнес-приложениями Java EE.

2010: Состав Oracle WebLogic Server

Разработанный корпорацией Oracle Oracle WebLogic Server создан на платформе продуктов семейства Java EE и на декабрь 2010 года включает в себя:

  • сервер приложений Java EE, WebLogic Application Server
  • портал предприятия, WebLogic Portal
  • платформа интеграции корпоративных приложений
  • сервер транзакций и инфраструктуры, WebLogic Tuxedo
  • телекоммуникационная платформа,WebLogic Communication Platform
  • HTTP веб-сервер

Примечания



ПРОЕКТЫ (20) ИНТЕГРАТОРЫ (18) СМ. ТАКЖЕ (80)

ЗаказчикИнтеграторГодПроект
- Российские железные дороги (РЖД)
Интэллекс (Intellex)2021.03Описание проекта
- Транснефть АК
Русинформсервис, КрастКом, Softline (Софтлайн)2018.08Описание проекта
- Сухой
Группа Борлас (Borlas)2018.06Описание проекта
- Российские железные дороги (РЖД)
Крок, ФОРС - Центр разработки2017.12Описание проекта
- Транснефть АК
Инфралинк (ранее УСП Компьюлинк), Инновационные Сырьевые Технологии2017.04Описание проекта
- ДОМ.РФ (ранее Агентство по ипотечному жилищному кредитованию, АИЖК)
Крок, ФОРС - Центр разработки2017.01Описание проекта
- МегаФон
Oracle Россия и СНГ2015.09Описание проекта
- Министерство экономического развития РФ (Минэкономразвития, МЭР)
AT Consulting (Группа ЭйТи Консалтинг)2015.05Описание проекта
- Татфондбанк
РДТЕХ2014.09Описание проекта
- Почта Банк (ранее Лето Банк)
AT Consulting (Группа ЭйТи Консалтинг), Астерос2013.09Описание проекта
- Траст Банк непрофильных активов (Национальный банк Траст)
Без привлечения консультанта или нет данных2010.12Описание проекта
- Маяк, ФГУП ПО
Softline (Софтлайн)---Описание проекта
- Агентство по страхованию вкладов (АСВ)
Астерос Информационная безопасность (ранее Кабест)---Описание проекта
- Федеральная таможенная служба (ФТС РФ)
РДТЕХ---Описание проекта
- Российская телевизионная и радиовещательная сеть (РТРС)
Softline (Софтлайн)---Описание проекта
- Волгоградэнергосбыт
Борлас Секьюрити Системз (БСС)---Описание проекта
- Всероссийский Банк Развития Регионов (ВБРР)
Инфосистемы Джет---Описание проекта
- Промсвязьбанк (ПСБ)
Без привлечения консультанта или нет данных---Описание проекта
- ВТБ24
Астерос, Т1 Интеграция (ранее Техносерв)---Описание проекта
- ВЭБ.РФ (ранее Внешэкономбанк)
ФОРС - Центр разработки---Описание проекта



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Extyl (Экстил) (111)
  Softline (Софтлайн) (110)
  WebSoft (ВебСофт Девелопмент) (90)
  КСК Технологии (62)
  Carbon Soft (Карбон Софт) EvaTeam (52)
  Другие (966)

  Extyl (Экстил) (23)
  Факт (ЦИТ Факт, Центр интернет-технологий Факт) (7)
  WebSoft (ВебСофт Девелопмент) (6)
  Корус Консалтинг (6)
  MCArt (Эм Си Арт) (2)
  Другие (31)

  Carbon Soft (Карбон Софт) EvaTeam (15)
  Extyl (Экстил) (14)
  Areal, Ареал (ранее Arealidea) (5)
  WebSoft (ВебСофт Девелопмент) (4)
  Корус Консалтинг (4)
  Другие (30)

  Carbon Soft (Карбон Софт) EvaTeam (28)
  Extyl (Экстил) (22)
  Первый Бит (4)
  Факт (ЦИТ Факт, Центр интернет-технологий Факт) (4)
  WebSoft (ВебСофт Девелопмент) (3)
  Другие (23)

  Extyl (Экстил) (9)
  Первый Бит (5)
  Интернет-агентство Далее (3)
  Carbon Soft (Карбон Софт) EvaTeam (2)
  Inferit (Инферит) (2)
  Другие (17)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Microsoft (53, 385)
  1С-Битрикс (14, 338)
  WebSoft (ВебСофт Девелопмент) (1, 95)
  КСК Технологии (1, 61)
  Carbon Soft (Карбон Софт) EvaTeam (1, 53)
  Другие (287, 394)

  1С-Битрикс (4, 37)
  WebSoft (ВебСофт Девелопмент) (1, 6)
  Microsoft (3, 4)
  Корус Консалтинг (3, 3)
  Oracle (2, 2)
  Другие (8, 9)

  1С-Битрикс (5, 31)
  Carbon Soft (Карбон Софт) EvaTeam (1, 15)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (1, 4)
  WebSoft (ВебСофт Девелопмент) (1, 4)
  Лига Цифровой Экономики (1, 2)
  Другие (5, 6)

  1С-Битрикс (3, 39)
  Carbon Soft (Карбон Софт) EvaTeam (1, 29)
  WebSoft (ВебСофт Девелопмент) (1, 3)
  Content AI (Контент ИИ) (1, 1)
  Inferit (Инферит) (1, 1)
  Другие (4, 4)

  1С-Битрикс (3, 22)
  Carbon Soft (Карбон Софт) EvaTeam (1, 2)
  Softline Cloud Services (1, 2)
  Inferit (Инферит) (1, 2)
  Softline (Софтлайн) (1, 2)
  Другие (3, 3)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  1С-Битрикс24 - 166
  1С-Битрикс: Управление сайтом - 98
  Websoft HCM (ранее WebTutor) - 95
  1С-Битрикс: Корпоративный портал - 74
  Microsoft SharePoint - 62
  Другие 750

  1С-Битрикс24 - 19
  1С-Битрикс: Управление сайтом - 16
  Websoft HCM (ранее WebTutor) - 6
  1С-Битрикс: Корпоративный портал - 3
  Microsoft SharePoint Online - 2
  Другие 16

  1С-Битрикс: Управление сайтом - 17
  Carbon Soft EvaWiki - 15
  1С-Битрикс24 - 12
  Websoft HCM (ранее WebTutor) - 4
  ELMA365 Внешний портал - 4
  Другие 10

  Carbon Soft EvaWiki - 29
  1С-Битрикс24 - 21
  1С-Битрикс: Управление сайтом - 16
  1С-Битрикс: Корпоративный портал - 6
  Websoft HCM (ранее WebTutor) - 3
  Другие 4

  1С-Битрикс24 - 18
  1С-Битрикс: Управление сайтом - 4
  Carbon Soft EvaWiki - 2
  Инферит Клаудмастер (CloudMaster) - 2
  1С-Битрикс: Корпоративный портал - 1
  Другие 3

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (89)
  X-Com (Икс ком) (57)
  Крок (35)
  Инфосистемы Джет (34)
  Астерос (34)
  Другие (1099)

  X-Com (Икс ком) (10)
  Softline (Софтлайн) (6)
  Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (5)
  Крок (4)
  Инфоматика (3)
  Другие (53)

  Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (3)
  Мобильные ТелеСистемы (МТС) (3)
  Почта России (2)
  Селектел (Selectel) (2)
  Аквариус (Aquarius) (1)
  Другие (24)

  X-Com (Икс ком) (8)
  Национальные Технологии (2)
  Аладдин Р.Д. (Aladdin R.D.) (2)
  Кортис Технологии (1)
  Reksoft (Рексофт) (1)
  Другие (31)

  X-Com (Икс ком) (3)
  R-Style Softlab (Эр-Стайл Софтлаб) (1)
  RDW Computers, Real Digital World (РДВ Технолоджи) (1)
  TrueConf (Труконф) (1)
  Астра Группа компаний (1)
  Другие (16)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  IBM (47, 81)
  Microsoft (12, 58)
  Oracle (28, 56)
  Dell EMC (21, 24)
  Lenovo (3, 23)
  Другие (403, 283)

  Lenovo (1, 6)
  Lenovo Data Center Group (1, 6)
  SOTI (1, 3)
  КНС Групп (Yadro) (1, 3)
  Bull (Atos IT Solutions And Services) (2, 2)
  Другие (18, 20)

  Селектел (Selectel) (1, 2)
  Delta Computers (Дельта Компьютерс) (1, 1)
  Hewlett Packard Enterprise (HPE) (1, 1)
  Lenovo Data Center Group (1, 1)
  Базальт СПО (BaseALT) ранее ALT Linux (1, 1)
  Другие (7, 7)

  Аладдин Р.Д. (Aladdin R.D.) (1, 2)
  Softline (Софтлайн) (1, 1)
  КНС Групп (Yadro) (1, 1)
  Шаркс Датацентр (Sharx DC) (1, 1)
  Delta Computers (Дельта Компьютерс) (1, 1)
  Другие (8, 8)

  Content AI (Контент ИИ) (1, 2)
  КНС Групп (Yadro) (1, 2)
  TrueConf (Труконф) (1, 2)
  Сбербанк-Технологии (СберТех) (1, 1)
  Inferit (Инферит) (1, 1)
  Другие (5, 5)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Microsoft Active Directory - 32
  Oracle Exadata Database Machine - 21
  Oracle WebLogic Server - 20
  Microsoft System Center Operations Manager (SCOM) - 18
  Lenovo ThinkSystem - 17
  Другие 368

  Lenovo ThinkSystem - 6
  Soti Mobicontrol - 3
  Yadro Сервер - 3
  Ngenix Облачная платформа - 2
  Dell EMC PowerEdge - 2
  Другие 15

  Selectel Выделенные серверы - 2
  Серверы Ситроникс - 1
  Альт Сервер - 1
  HPE Apollo 4000 Серверы - 1
  Aerodisk Machine Серверы - 1
  Другие 5

  JaCarta Authentication Server (JAS) - 2
  Yadro Сервер - 1
  SharxBase - 1
  Delta Solutions: Tioga Pass Серверы с архитектурой Open Compute Project (OCP) - 1
  КРУГ: TimeVisor Сервер единого времени - 1
  Другие 5

  Yadro Сервер - 2
  ContentReader Server - 2
  Trueconf MCU (Multipoint Control Unit) - 2
  Инферит Серверы - 1
  RDW Computers Серверы - 1
  Другие 4