Skip to content
PortsDB

Référence des ports

Port 7001 (TCP) – Oracle WebLogic Server

Port d'écoute HTTP/T3 par défaut de l'administration et des applications Oracle WebLogic Server.

tcpRegisteredSouvent attaqué

État par défaut

Ouvert par défaut sur les installations WebLogic, servant la console d'administration et le protocole T3. Affecté de façon répétée par des failles critiques d'exécution de code à distance non authentifiées.

Attaques courantes

  • RCE par désérialisation non authentifiée via T3/IIOP et la console
  • Exploitation de CVE-2017-10271, CVE-2019-2725, CVE-2020-14882
  • Scan de masse pour déployer des cryptomineurs et des webshells
  • Brute-force de la console d'administration et contournement d'authentification

CVE-2017-10271CVE-2020-14882

Durcissement

  • Appliquer rapidement les Critical Patch Updates d'Oracle — WebLogic est une cible RCE fréquente
  • Ne jamais exposer le 7001 à Internet ; restreindre aux réseaux de gestion de confiance
  • Filtrer ou désactiver les protocoles T3/IIOP s'ils ne sont pas nécessaires
  • Placer WebLogic derrière un WAF et bloquer l'accès aux URI connus comme vulnérables
  • Exécuter avec des privilèges minimaux, des identifiants de console forts et une surveillance active

Commande nmap

nmap -p7001 --script weblogic-t3-info,http-vuln-cve2017-10271 <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 7001

Le port 7001 est le port d'écoute par défaut d'Oracle WebLogic Server, un serveur d'applications Java EE largement déployé. Il sert la console d'administration, les applications hébergées en HTTP et les protocoles de remoting T3 (et IIOP) d'Oracle. WebLogic est courant dans les grands environnements d'entreprise et la pile Oracle, souvent derrière des applications critiques pour l'activité.

Pourquoi c'est important pour la sécurité

WebLogic est tristement célèbre pour un flot récurrent de vulnérabilités de désérialisation critiques et non authentifiées. Des failles comme CVE-2017-10271, CVE-2019-2725 et CVE-2020-14882 permettent l'exécution de code à distance sans identifiants. Comme le serveur tourne souvent avec des privilèges élevés et héberge des applications importantes, une seule instance non corrigée peut signifier une compromission complète du serveur.

Comment c'est attaqué

Les attaquants prennent l'empreinte du serveur avec weblogic-t3-info et sondent les failles connues avec des scripts comme http-vuln-cve2017-10271. Ils envoient des charges utiles T3/IIOP ou HTTP forgées qui déclenchent une RCE par désérialisation, puis déploient des webshells et des cryptomineurs. Les instances 7001 exposées sont scannées en masse en quelques heures après chaque nouvel avis.

Liste de durcissement

Appliquez rapidement les Critical Patch Updates d'Oracle — WebLogic est une cible RCE fréquente. N'exposez jamais le 7001 à Internet ; restreignez-le aux réseaux de gestion de confiance. Filtrez ou désactivez T3/IIOP s'ils ne sont pas nécessaires, placez WebLogic derrière un WAF et bloquez les URI connus comme vulnérables. Exécutez avec des privilèges minimaux, des identifiants de console forts et une surveillance active. Utilisez la commande nmap ci-dessus pour vérifier l'exposition sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 7002Port 8080Port 443Port 1521

Questions fréquentes

Pourquoi Oracle WebLogic sur le port 7001 est-il si souvent attaqué ?
WebLogic a connu une longue série de failles critiques de désérialisation non authentifiées — CVE-2017-10271, CVE-2019-2725, CVE-2020-14882 et plus — qui permettent l'exécution de code à distance. Les instances 7001 exposées sont scannées en masse et exploitées en quelques heures après leur divulgation.
Quels protocoles le port 7001 expose-t-il ?
Le 7001 sert la console d'administration et les applications WebLogic en HTTP, plus les protocoles de remoting T3 (et IIOP). La désérialisation T3 a été à l'origine de plusieurs RCE critiques, donc filtrez-la ou désactivez-la là où elle n'est pas nécessaire.