Разработчики: | Oracle |
Дата последнего релиза: | 2020/08/07 |
Технологии: | Корпоративные порталы, Серверные платформы |
2024: Власти США: Хакеры многие годы используют дырявое ПО Oracle для незаконной добычи криптовалют
В конце мая 2024 года Агентство по кибербезопасности и защите инфраструктуры (CISA) США сообщило о том, что китайские хакеры годами используют уязвимости в программном обеспечении Oracle для незаконной добычи криптовалют. Причем злоумышленники постоянно совершенствуют свои методы, что затрудняет их обнаружение и защиту от вторжений.
Преступным майнингом, как утверждается, занимается группировка 8220 Gang (также известная как 8220 Mining Group и Water Sigbin). Хакеры, в частности, эксплуатируют уязвимость CVE-2017-3506 (рейтинг опасности CVSS: 7,4), которая затрагивает платформу Oracle WebLogic Server. С помощью специально созданных HTTP-запросов злоумышленники могут получить несанкционированный доступ к системе и выполнить на ней произвольный программный код.
Специалисты компании Trend Micro отмечают, что группировка 8220 Gang применяет методы запутывания кода и сложные тактики для скрытной доставки вредоносных полезных нагрузок на атакуемые системы. Вкупе с эксплуатацией других дыр майнеры криптовалют внедряются на компьютеры под управлением Windows и Linux.
![]() | Группировка использует методы обфускации, такие как шестнадцатеричное кодирование URL-адресов и протокол HTTP через порт 443, что позволяет осуществлять незаметную доставку полезной нагрузки. Мы обнаружили попытки эксплуатации как на компьютерах с Linux, так и на Windows, — говорит специалист Trend Micro Сунил Бхарти (Sunil Bharti). | ![]() |
Известно, что группировка Water Sigbin действует как минимум с 2017 года. Она специализируется на развертывании вредоносного ПО в первую очередь в облачных средах и на серверах Linux. Постоянное развитие инструментов, тактик и процедур позволяет киберпреступникам скрывать свою деятельность и избегать обнаружения.[1]
2020: Обнаружение уязвимости, позволяющей с помощью доступного из интернета сервисного URL-адреса подключиться к серверу
7 августа 2020 года Positive Technologies сообщила, что ее эксперт Арсений Шароглазов обнаружил уязвимость в серверах приложений Oracle WebLogic Server. С помощью доступного из интернета сервисного URL-адреса злоумышленники могут подключиться к системе, подобрать логин и пароль для доступа и осуществить удаленное считывание файлов (remote file reading). Продукты семейства Oracle WebLogic используются десятки тысяч компаний по всему миру.
Уязвимости CVE-2020-14622 присвоена средняя степень опасности по шкале CVSS (Базовая оценка: 4,9).
Проблема усугубляется тем фактом, что многие системные администраторы не подозревают о существовании данного URL и комбинации стандартного логина и пароля для доступа к нему. Обычно административная панель WebLogic расположена на отдельном порте и недоступна из интернета, а конфигурация системы устанавливается с помощью специальных скриптов, в которых содержатся дефолтные данные для доступа к сервисному URL.Александр Егоркин, Газпромбанк: Если мы немедленно проведем импортозамещение, бизнес-процессы встанут
С помощью данного недостатка безопасности злоумышленники могут получить доступ к Oracle WebLogic Server и считывать любые файлы, находящиеся на сервере. В зависимости от организации, которой принадлежит сервер, на нем могут находиться персональные данные пользователей, конфигурационные файлы важных систем, исходные коды приложений, в которых также могут быть обнаружены уязвимости.
Для проведения атаки злоумышленнику достаточно обладать средней квалификацией. Обнаружить уязвимость можно с помощью автоматизированных систем сканирования, а для ее эксплуатации взломщику придется написать несложный код на языке Java.
![]() | В ходе проектов по анализу защищенности мы встречали данную уязвимость в банковских системах, сертифицированных под PSI DSS, — говорит исследователь Positive Technologies Арсений Шароглазов. — Это сложные системы: строится DMZ, куда устанавливают несколько серверов, в том числе несколько WebLogic, SQL-базы, все это изолируется и аудируется, ставятся проксирующий nginx и WAF, но администраторы не знают про возможность доступа к инфраструктуре с помощью сервисного URL, и это подрывает защиту. | ![]() |
Для снижения рисков, связанных с эксплуатацией уязвимости CVE-2020-14622, эксперты Positive Technologies рекомендуют установить обновление безопасности, выпущенное Oracle, а также сменить стандартный пароль для доступа к сервисному URL. Помимо этого компании, использующие в своей инфраструктуре продукты Oracle WebLogic Server, могут снизить риски эксплуатации уязвимости CVE-2020-14622 с помощью регулярного тестирования на проникновение и использования специализированных средств защиты.
2013: Oracle WebLogic Server 12.1.2
О выходе новой версии сервера приложений Oracle WebLogic Server 12.1.2 сообщила корпорация Oracle 5 августа 2013 года.
Oracle WebLogic Server оптимизирован для работы на Oracle Exalogic Elastic Cloud, входящем в семейство оптимизированных программно-аппаратных комплексов Oracle Engineered Systems
Новое в функционале
- Новая версия Oracle WebLogic Server 12.1.2 использует динамическую кластеризацию для большей «гибкости облака» и эффективного управления ресурсами, упрощает администрирование Java Messaging Service (JMS).
- Полная сертифицированная поддержка и интеграция с Oracle Database 12c, включая поддержку доступа к консолидированным базам данных в мультиарендной архитектуре, а также обеспечение непрерывности работы приложений и высокой доступности данных.
- Расширена поддержка Apache Maven для управления версиями и жизненным циклом, реализована поддержка HTML5, Java и WebSockets для разработки мобильных и кросс-платформенных приложений.
- Сервер предоставляет декларативный, основанный на JSON или XML доступ к корпоративным источникам данных через интерфейс распределенных приложений REST (Representational State Transfer) с использованием сервисов Oracle TopLink.
2011: Oracle WebLogic Server 12c
Корпорация Oracle сообщила в декабре 2011 года о выпуске Oracle WebLogic Server 12c — новой версии сервера приложений для традиционных систем, оптимизированных программно-аппаратных комплексов и сред облачных вычислений. Являясь ключевой частью платформы Oracle Cloud Application Foundation и ядром семейства Oracle Fusion Middleware, Oracle WebLogic Server продолжает предоставлять новые инновационные возможности для создания, развертывания и выполнения приложений Java EE (Java Platform, Enterprise Edition).
Новая версия Oracle WebLogic Server 12c предлагает важные расширения и улучшения, призванные помочь клиентам и партнерам снизить совокупную стоимость владения и получать большую отдачу от существующей инфраструктуры приложений при одновременном ускорении цикла разработки и сокращении сроков вывода на рынок новых приложений.
Oracle WebLogic Server 12c сертифицирован для полной спецификации платформы Java EE 6, что обеспечивает повышенную эффективность работы разработчиков с современными, основанными на стандартах API-интерфейсами, включая Servlet 3.0, JAX-RS 1.1, Java Server Faces 2.1, EJB 3.1, Context and Dependency Injection for Java и многие другие. Кроме того, разработчики на платформе Oracle WebLogic Server могут теперь использовать функции Java Platform Standard Edition (Java SE) 7 для создания более качественного и удобного для сопровождения программного кода.
Oracle WebLogic Server 12c предоставляет полную поддержку управления зависимостями и унифицированного процесса сборки через обновленный подключаемый модуль для Apache Maven. В то же время, сервер приложений новой версии напрямую интегрируется с Oracle Traffic Director (OTD), новым компонентом семейства Oracle Fusion Middleware, что добавляет возможности маршрутизации трафика приложений с высоким уровнем производительности и доступности, динамически настраиваемого кэширования и балансировки нагрузки, а также поддерживает прокси для HTTP-приложений. Кроме того, технология Oracle Virtual Assembly Builder, используя графический инструментарий и открытые API-интерфейсы веб-сервисов на базе модели поставки PaaS («платформа как услуга»), обеспечивает упрощенное конфигурирование и компоновку многоуровневых корпоративных приложений в средах, виртуализованных с помощью Oracle VM.
«С выпуском новой версии Oracle WebLogic Server 12c клиенты могут использовать сервер приложений для получения большей отдачи от существующей инфраструктуры, для упрощения развертывания и управления приложениями, а также для ускорения вывода на рынок новых приложений через повышение эффективности работы разработчиков, — отметил Кэмерон Парди (Cameron Purdy), вице-президент Oracle по разработке. — Кроме того, благодаря Oracle WebLogic Server 12c клиенты смогут лучше освоить облачные вычисления и использовать свою инфраструктуру для создания частных и публичных облачных архитектур и затем с легкостью переключаться между внутренней и внешней инфраструктурой по мере изменения потребностей».
По словам разработчиков, клиенты могут использовать Oracle WebLogic Server 12c в для решения наиболее важных и критичных для бизнеса задач благодаря высокой безопасности и готовности этой платформы. Улучшенная интеграция между Oracle WebLogic Server и Oracle Real Application Clusters (RAC) позволяет автоматически выявлять и корректировать сбои узлов (разделов) базы данных для поддержки высокой производительности и более простого управления.
В свою очередь, новые функции аварийного восстановления позволяют клиентам хранить данные в файлах или в базе данных, включая опцию сохранения журнала транзакций в базе данных. Это дает возможность использовать интегрированные в базу данных технологии согласованной репликации совместно с Oracle GoldenGate и Oracle Active Data Guard для всех динамических данных приложений, включая журналы регистрации онлайн-активности, журналы службы передачи сообщений Java Message Services (JMS) и журналы транзакций, пояснили в Oracle.
Среди других особенностей Oracle WebLogic Server 12c следует также отметить поддержку криптографического протокола Transport Layer Security (TLS) 1.2 (преемника протокола Secure Sockets Layer/SSL), повышающую безопасность приложений.
Oracle WebLogic Server оптимизирован для применения в качестве высокопроизводительной и эластичной облачной инфраструктуры для поддержки выполнения критически важных корпоративных приложений на Oracle Exalogic Elastic Cloud — программно-аппаратном комплексе для облачных вычислений. Сервер приложений Oracle является также ключевым компонентом Oracle Java Cloud Service — корпоративной платформы для разработки, развертывания и управления критически важными бизнес-приложениями Java EE.
2010: Состав Oracle WebLogic Server
Разработанный корпорацией Oracle Oracle WebLogic Server создан на платформе продуктов семейства Java EE и на декабрь 2010 года включает в себя:
- сервер приложений Java EE, WebLogic Application Server
- портал предприятия, WebLogic Portal
- платформа интеграции корпоративных приложений
- сервер транзакций и инфраструктуры, WebLogic Tuxedo
- телекоммуникационная платформа,WebLogic Communication Platform
- HTTP веб-сервер
Подрядчики-лидеры по количеству проектов
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
Распределение систем по количеству проектов, не включая партнерские решения
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
Подрядчики-лидеры по количеству проектов
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
Распределение систем по количеству проектов, не включая партнерские решения
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)