Oracleは米国時間4月30日夜、緊急のセキュリティアラートを発表し、「Oracle WebLogic Server」を利用している企業に対して、4月中旬にリリースした最新のパッチをインストールするよう求めた。
Oracleは、WebLogic Serverの脆弱性「CVE-2020-2883」を悪用する試みについて、複数の報告を受けたことを明かした。
WebLogic Serverは、ユーザー向けのアプリケーションとデータベースシステムの間に配置される「Java」ベースのミドルウェアサーバーであり、ユーザーの要求を再ルーティングして、必要なデータを返す。非常に人気の高いミドルウェアソリューションであり、現在、何万台ものサーバーがオンラインで実行されている。
CVE-2020-2883脆弱性は危険なバグであり、「CVSSv3」共通脆弱性評価システムで深刻度が10点満点中9.8点と評価された。
Oracleに個別に報告されたこのバグを悪用すると、脅威アクターがOracle独自のT3プロトコルを通して、不正なペイロードをWebLogicサーバーに送信することが可能になる。
攻撃が発生するのは、サーバーがデータを受信した後、基盤をなすWebLogicコアでの不正なコード実行を可能にしてしまう方法でそのデータをアンパック(逆シリアル化)したときだ。これにより、ハッカーがパッチ未適用のシステムを乗っ取ることが可能になってしまう。
Oracleによると、このバグを悪用するのにユーザー認証は必要ないという。そのため、CVE-2020-2883は、自動化されたウェブベースの攻撃ツールやボットネット運用に統合するのに利用されやすい。
Oracleは、4月14日にリリースした四半期ごとのセキュリティアップデートで、このバグを修復した。
このバグを悪用しようとする現在の試みは、CVE-2020-2883脆弱性を突く概念実証コードが1日後にGitHubで公開された後で始まったようだ。
Oracleは、4月に修正した他の脆弱性を悪用しようとする試みについても報告を受けたとしながらも、WebLogicの脆弱性をとりわけ強調した。
近年、WebLogicのバグを兵器化して悪用することに対して、ハッカーが頻繁に関心を示していることが背景にあるとみられる。
ハッカー集団は、これらの脆弱性を利用してWebLogicサーバーを乗っ取り、仮想通貨をマイニングするマルウェアを実行したり、企業ネットワークに侵入してランサムウェアをインストールしたりしている。
CVE-2020-2883が現実世界で実際に最も悪用されているWebLogicの脆弱性の1つとして、「CVE-2019-2729」「CVE-2019-2725」「CVE-2018-2893」「CVE-2018-2628」「CVE-2017-10271」に加わることは、ほぼ確実だ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
