Falha no WebLogic dá acesso total
A CISA (Cybersecurity and Infrastructure Security Agency) adicionou a vulnerabilidade CVE-2024-21182 do Oracle WebLogic Server ao seu catálogo de falhas com exploração ativa conhecida (KEV). A falha, com pontuação CVSS 7.5, permite que atacantes não autenticados acessem remotamente todos os dados do servidor por meio dos protocolos T3 e IIOP, sem exigir nenhuma interação do usuário.
A vulnerabilidade afeta as versões 12.2.1.4.0 e 14.1.1.0.0 do Oracle WebLogic Server, componente da suíte Oracle Fusion Middleware. Classificada como de baixa complexidade de exploração, a falha exige apenas acesso à rede — sem credenciais, sem autenticação e sem privilégios prévios. O impacto é a exposição completa de dados críticos acessíveis pelo servidor.
Protocolos T3 e IIOP como porta
O vetor de ataque explora os protocolos proprietários T3 e IIOP do WebLogic. O T3 é o protocolo de comunicação padrão do WebLogic para conexões entre cliente e servidor Java RMI. O IIOP (Internet Inter-ORB Protocol) permite interoperabilidade com sistemas CORBA. Ambos operam sobre TCP e, em configurações padrão, ficam expostos na porta de listen do servidor.
A vulnerabilidade reside no componente Core do WebLogic. Um atacante envia requisições manipuladas via T3 ou IIOP que bypassam os mecanismos de autenticação do servidor. O resultado é acesso não autorizado a dados de configuração, credenciais armazenadas e informações de aplicações hospedadas. A Oracle corrigiu a falha no Critical Patch Update de julho de 2024, mas milhares de instâncias permanecem desatualizadas.
Código de exploit disponível
Em dezembro de 2024, prova de conceito (PoC) foi publicada no GitHub, tornando a exploração acessível a atacantes com conhecimento técnico limitado. Pelo menos quatro repositórios com código de exploração foram identificados. A combinação de PoC público com a confirmação de exploração ativa pela CISA eleva significativamente o risco para organizações que ainda não aplicaram o patch.
| Detalhe | Informação |
|---|---|
| CVE | CVE-2024-21182 |
| CVSS | 7.5 (Alta) |
| Vetor | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| Versões afetadas | 12.2.1.4.0 e 14.1.1.0.0 |
| Protocolos | T3 e IIOP |
| Autenticação | Nenhuma requerida |
| Patch | Oracle Critical Patch Update — julho 2024 |
| PoC público | Sim (desde dezembro 2024) |
O que fazer agora
Organizações que executam Oracle WebLogic Server devem aplicar o patch do Critical Patch Update de julho de 2024 imediatamente. Se a aplicação do patch não for possível de imediato, restrinja o acesso às portas T3 e IIOP via firewall, permitindo apenas conexões de redes internas confiáveis. Desative o protocolo IIOP se não for utilizado.
Monitore logs de acesso em busca de requisições T3 ou IIOP anômalas, especialmente tentativas de conexão de IPs externos não identificados. A CISA recomenda que todas as organizações — não apenas agências federais — tratem as vulnerabilidades no catálogo KEV como prioridade de correção. Consulte também os casos da vulnerabilidade ativa no FortiClient EMS e da CVE explorada no Palo Alto PAN-OS para contextos semelhantes de exploração ativa.