Oracleは、「WebLogic Server」の脆弱性を修正する定例外セキュリティアップデートをリリースした。この脆弱性はすでに、ユーザーのシステムを乗っ取る攻撃に悪用されているとの報告がある。
この脆弱性を利用する攻撃は、米国時間6月15日に中国のセキュリティ企業であるKnownsec 404 Teamによって報告された。
同社の当初の報告では、この攻撃は、以前のゼロデイ脆弱性(CVE-2019-2725)に対するパッチをバイパス可能な、新たなWebLogicの脆弱性を利用するものだとされていた。問題の脆弱性は4月に悪用するゼロデイ攻撃が出回ったと報告され、定例外の緊急パッチが公開されている。
しかしOracleのセキュリティプログラムマネジメント担当バイスプレジデントJohn Heimann氏は、18日に公開したブログ記事で、この評価は誤りであり、新たな攻撃では4月のゼロデイ攻撃とは別の脆弱性が悪用されていることを明らかにした。
10点満点で9.8の深刻度スコア
この新しい脆弱性には、識別子として「CVE-2019-2729」が割り当てられ、深刻度のスコアは10点満点で9.8と評価された。これは4月に発見されたゼロデイ脆弱性と同じスコアだ。
この2つの脆弱性には似ている部分もあるが、問題のコードはWebLogicの異なる部分に存在している。どちらの脆弱性も、WebLogicの内部でバイナリデータを元の形式に戻す際に実行されるデータのデシリアライゼーションプロセスに存在するバグであり、攻撃者がこのプロセスを悪用して、脆弱性が存在するシステム上でコードを実行できる点も共通している。攻撃者はサーバーの認証情報を知らなくても攻撃コードを実行できる。
Knownsec 404 Teamは、現在のCVE-2019-2729を悪用した攻撃は、JDK 1.6.xを使用しているシステムだけを標的としていると述べており、これが正しいとすれば、標的となるサーバーの数は減少する。
It should be emphasized that this vulnerability was caught in the wild, and the current exploit payolaod is only for jdk1.6x. https://t.co/PsEEU9q6ZB
— heige (@80vul) 2019年6月16日
WebLogicはハッカーの標的になっている
OracleのWebLogicは最近、頻繁にハッカーの攻撃対象となっているようだ。それらの攻撃の一部は、ハッカーが企業のネットワークを標的として、金銭的な利益を得るために仮想通貨マイニングマルウェアを埋め込もうとするものだ。
Oracle WebLogic Server exploits are hot right now.
— Bad Packets Report (@bad_packets) June 10, 2019
Oracleは、今回のバグの影響を受けるWebLogicのバージョンとして10.3.6.0.0、12.1.3.0.0、12.2.1.3.0を挙げている。同社は、米国時間6月18日にこれらのバージョン向けにセキュリティパッチを公開した。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
