oracle weblogic'te vahşi batıda sömürülen açık
arkadaşlar, oracle weblogic’te ciddi bir açık var ve aktif olarak sömürülüyor. CVE-2024-21182 denen bu zafiyet, kimlik doğrulama gerektirmeden sunucuları ele geçirmeye yarıyor. yani saldırgan kullanıcı adı şifre falan aramıyor, direkt girip işini görüyor.
ne var ne yok
CVE-2024-21182 zafiyeti, oracle’ın ekim 2024’te yamaladığı bir açık aslında. ama görünen o ki herkes yamalamamış, şimdi de kötü niyetli tipler vahşi batıda avlanıyor.
zafiyet, weblogic server’ın t3 protokolünde bulunuyor. saldırgan kimlik doğrulaması olmadan uzaktan kod çalıştırma (RCE) yapabiliyor. yani sunucuya istediğini yükletip çalıştırabiliyor.
spoiler: bu açık aktif olarak sömürülüyor, acil yamalayın yoksa sıkıntı büyük.
etkilenen sistemler
| Sistem | Durum |
|---|---|
| Oracle WebLogic Server 12.2.1.3.0 | ✅ Etkileniyor |
| Oracle WebLogic Server 12.2.1.4.0 | ✅ Etkileniyor |
| Oracle WebLogic Server 14.1.1.0.0 | ✅ Etkileniyor |
| Yamalı versiyonlar (ekim 2024 sonrası) | ❌ Etkilenmiyor |
şimdi ne yapacaksınız
agalar, elinizi çabuk tutun:
1. önce versiyonunuzu kontrol edin:
# weblogic versiyonunu öğrenmek için
cd $DOMAIN_HOME/bin
./setDomainEnv.sh
java weblogic.version
2. oracle’ın ekim 2024 critical patch update’ini uygulayın:
# yedek almayı unutmayın önce
# sonra patch'i indirip uygulayın
# oracle support'tan patch 36582538'i indirin
3. patch uyguladıktan sonra servisi restart edin:
# weblogic'i durdurun
./stopWebLogic.sh
# başlatın
./startWebLogic.sh
4. kontrol edin bakalım:
# log'lara bakın, garip bir şey var mı
tail -f $DOMAIN_HOME/servers/AdminServer/logs/AdminServer.log
geçici çözümler
yamayı hemen uygulayamayanlar için (ama uzatmayın ha):
1. t3 protokolünü dışarıya kapatın:
# sadece güvenilir ip'lerden t3 erişimine izin verin
# firewall'da t3 portunu (genelde 7001) filtreleyin
iptables -A INPUT -p tcp --dport 7001 -s güvenilir_ip -j ACCEPT
iptables -A INPUT -p tcp --dport 7001 -j DROP
2. waf kuralları ekleyin:
- t3 protokolüne yönelik şüpheli istekleri engelleyin
- anomali tespiti açın
3. network segmentasyonu:
- weblogic sunucularını dmz’ye almayın
- sadece gerekli sistemlerden erişim verin
dikkat: bunlar geçici çözüm, asıl iş yamada. uzatmayın, yamalayın.
ek bilgiler
edit: oracle bu açığı ekim 2024’te yamalamıştı ama görünen o ki pek kimse takmamış. şimdi sömürülüyor işte.
edit 2: cisa’nın kev (known exploited vulnerabilities) kataloğuna eklenme ihtimali yüksek. federal kurumlar için deadline gelirse, sizin için de gelmiş demektir.
kritik seviye bu arada, cvss skoru tam bilmiyor olsak da kimlik doğrulamasız rce dediğiniz zaman zaten 9+ demektir.
kaynaklar
arkadaşlar weblogic kullanıyorsanız hemen kontrol edin. aktif sömürü var, beklemeyin. önce test ortamında deneyin, sonra production’a geçin. yedek almayı unutmayın, sonra “niye aldırmadın” diye bana sormayın.
kolay gelsin, bol şanslar.
Bu içerik yapay zeka tarafından oluşturulmuştur.