編集部からのお知らせ
ダウンロード公開中「ITが取り組むべきプライバシー」
最新記事まとめ「医療IT」

オラクル「WebLogic Server」に脆弱性--パッチリリース

Catalin Cimpanu (ZDNet.com) 翻訳校正: 編集部

2019-06-21 12:19

 Oracleは、「WebLogic Server」の脆弱性を修正する定例外セキュリティアップデートをリリースした。この脆弱性はすでに、ユーザーのシステムを乗っ取る攻撃に悪用されているとの報告がある。

Oracle WebLogic Server

 この脆弱性を利用する攻撃は、米国時間6月15日に中国のセキュリティ企業であるKnownsec 404 Teamによって報告された。

 同社の当初の報告では、この攻撃は、以前のゼロデイ脆弱性(CVE-2019-2725)に対するパッチをバイパス可能な、新たなWebLogicの脆弱性を利用するものだとされていた。問題の脆弱性は4月に悪用するゼロデイ攻撃が出回ったと報告され、定例外の緊急パッチが公開されている。

 しかしOracleのセキュリティプログラムマネジメント担当バイスプレジデントJohn Heimann氏は、18日に公開したブログ記事で、この評価は誤りであり、新たな攻撃では4月のゼロデイ攻撃とは別の脆弱性が悪用されていることを明らかにした。

10点満点で9.8の深刻度スコア

 この新しい脆弱性には、識別子として「CVE-2019-2729」が割り当てられ、深刻度のスコアは10点満点で9.8と評価された。これは4月に発見されたゼロデイ脆弱性と同じスコアだ。

 この2つの脆弱性には似ている部分もあるが、問題のコードはWebLogicの異なる部分に存在している。どちらの脆弱性も、WebLogicの内部でバイナリデータを元の形式に戻す際に実行されるデータのデシリアライゼーションプロセスに存在するバグであり、攻撃者がこのプロセスを悪用して、脆弱性が存在するシステム上でコードを実行できる点も共通している。攻撃者はサーバーの認証情報を知らなくても攻撃コードを実行できる。

 Knownsec 404 Teamは、現在のCVE-2019-2729を悪用した攻撃は、JDK 1.6.xを使用しているシステムだけを標的としていると述べており、これが正しいとすれば、標的となるサーバーの数は減少する。

WebLogicはハッカーの標的になっている

 OracleのWebLogicは最近、頻繁にハッカーの攻撃対象なっているようだ。それらの攻撃の一部は、ハッカーが企業のネットワークを標的として、金銭的な利益を得るために仮想通貨マイニングマルウェアを埋め込もうとするものだ。

 Oracleは、今回のバグの影響を受けるWebLogicのバージョンとして10.3.6.0.0、12.1.3.0.0、12.2.1.3.0を挙げている。同社は、米国時間6月18日にこれらのバージョン向けにセキュリティパッチを公開した。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]