TCP Опасный Другое

Порт 1099 (Java RMI)

Узнайте о порте 1099 (Java RMI) - угрозы безопасности, уязвимости и применение. Найдите устройства с открытым портом 1099.

Краткая информация

Номер порта

1099

Протокол

TCP

Сервис

Java RMI

Имя IANA

Java RMI

Описание сервиса

Порт 1099 (TCP) обычно ассоциируется с Java Remote Method Invocation (RMI) Registry. RMI позволяет Java-приложениям, работающим в разных Java Virtual Machines (JVMs), взаимодействовать друг с другом, как если бы они работали в одной и той же JVM. RMI Registry выступает в качестве службы именования, позволяя серверам регистрировать удаленные объекты под определенными именами, а клиентам находить эти объекты по имени и вызывать их методы удаленно. На техническом уровне, серверное приложение регистрирует удаленный объект в RMI Registry, связывая его с определенным именем. Клиентское приложение запрашивает RMI Registry по этому имени, получает ссылку на удаленный объект (stub) и использует этот stub для вызова методов на удаленном объекте. RMI автоматически обрабатывает сериализацию и десериализацию параметров и возвращаемых значений, а также сетевую коммуникацию между JVMs.

## Рекомендации по настройке файрвола

Крайне рекомендуется блокировать порт 1099 (TCP) на внешнем брандмауэре, если RMI Registry не требуется для взаимодействия с внешними системами. Если RMI Registry должен быть доступен извне, следует использовать надежную аутентификацию и авторизацию для ограничения доступа к RMI Registry. Рассмотрите возможность использования VPN или других методов шифрования для защиты трафика RMI. Регулярно обновляйте Java Runtime Environment (JRE) и приложения, использующие RMI, чтобы исправить известные уязвимости. Мониторинг трафика порта 1099 может помочь обнаружить подозрительную активность.

Информация о безопасности

Использование порта 1099 для RMI Registry может представлять значительные риски безопасности, особенно если RMI Registry доступен извне локальной сети. Неаутентифицированный доступ к RMI Registry позволяет злоумышленникам регистрировать произвольные Java-объекты, включая объекты, содержащие вредоносный код. Это может привести к выполнению произвольного кода на сервере, на котором работает RMI Registry, что позволяет злоумышленникам получить полный контроль над системой. Векторы атак включают эксплуатацию десериализации уязвимостей, когда вредоносные объекты десериализуются RMI Registry. Отсутствие аутентификации и авторизации в RMI Registry делает его привлекательной целью для злоумышленников.

Известные уязвимости

CVE	Название	Критичность	Описание
CVE-2017-7504	JBoss RMI Invoker Unmarshalling Vulnerability	Critical	Уязвимость в JBoss, позволяющая удаленному злоумышленнику выполнить произвольный код путем десериализации вредоносного объекта через RMI Invoker.
CVE-2015-4852	Oracle WebLogic Server WLS Security Component Deserialization Vulnerability	Critical	Уязвимость в Oracle WebLogic Server, позволяющая удаленному злоумышленнику выполнить произвольный код путем десериализации вредоносного объекта через RMI.
CVE-2016-3427	Oracle WebLogic Server Deserialization RMI Vulnerability	Critical	Уязвимость в Oracle WebLogic Server, позволяющая удаленному злоумышленнику выполнить произвольный код путем десериализации вредоносного объекта через RMI.
CVE-2016-0792	Apache ActiveMQ Deserialization Vulnerability	High	Уязвимость в Apache ActiveMQ, позволяющая удаленному злоумышленнику выполнить произвольный код путем десериализации вредоносного объекта через RMI (JMX).