Oracle WebLogic Server の脆弱性を悪用した攻撃の観測 脆弱性Lab

2019年5月29日

1. はじめに

本コラムについては、攻撃難易度が低く、攻撃通信が観測されていますので、CSIRT担当様やサーバ担当様向けの緊急情報として掲載します。

2019年4月26日にOracle社からOracle WebLogic Serverの脆弱性(CVE-2019-2725)が公開され、IPAやJPCERT/CCからも注意喚起が発表されました。攻撃コードが公開されており、リモートで攻撃可能な脆弱性であることから、実環境への影響は大きいと考えられます。また、ハニーポットにおいて、攻撃通信を観測していますので、早急な対応が必要と考え、本コラムを掲載します。

また、過去に公開されているOracle WebLogic Serverの脆弱性(CVE-2017-10271)を悪用していると考えられる通信につきましても、観測していますので、併せて掲載します。

2. 脆弱性情報

(1)Oracle WebLogic Serverの脆弱性(CVE-2019-2725)

以下バージョンのOracle WebLogic Serverにはリモートでコード実行可能な脆弱性(CVE-2019-2725)が存在します。Oracle WebLogic Server の修正プログラムの適用を実施してください。また、攻撃コードの公開が確認されています。

【影響を受けるバージョン】

  • Oracle WebLogic Server 10.3.6.0.0
  • Oracle WebLogic Server 12.1.3.0.0
(2)Oracle WebLogic Serverの脆弱性(CVE-2017-10271)

以下バージョンのOracle WebLogic Serverにはリモートでコード実行可能な脆弱性(CVE-2017-10271)が存在します。Oracle WebLogic Server の修正プログラムの適用を実施してください。また、攻撃コードの公開が確認されています。

【影響を受けるバージョン】

  • Oracle WebLogic Server 10.3.6.0.0
  • Oracle WebLogic Server 12.1.3.0.0
  • Oracle WebLogic Server 12.2.1.1.0
  • Oracle WebLogic Server 12.2.1.2.0

3. 観測傾向

Oracle WebLogic Serverで利用される管理コンソールのデフォルトポートである7001/TCPを対象にしたハニーポットによる通信観測を実施しました。このハニーポットにおいて、Oracle WebLogic Server の脆弱性を悪用していると考えられる攻撃通信を観測しています。

7001/TCPは、Oracle WebLogic Serverの管理コンソールのデフォルトポートということもあり、2017年に公開されたCVE-2017-10271の脆弱性を狙う攻撃が多数を占めています。また、2019年4月に公開されたCVE-2019-2725につきましても、割合は少ないものの攻撃通信が始まっていることが確認されました。

Oracle WebLogic Server の脆弱性を悪用した攻撃の割合(2019/4/26~5/13)

4. 観測内容

(1)Oracle WebLogic Serverの脆弱性(CVE-2019-2725)を悪用した通信

該当の脆弱性が存在する場合、外部に対して不正な通信を発生させるようです。該当の脆弱性が存在するOracle WebLogic Server の情報を収集している可能性が考えられます。調査時点で接続先にコンテンツは存在しませんでした。

Linux環境に構築したOracle WebLogic Serverを対象にした攻撃と考えられます。

観測通信内容(CVE-2019-2725)

(2)Oracle WebLogic Serverの脆弱性(CVE-2017-10271)を悪用した通信

該当の脆弱性が存在した場合、外部から不審なプログラムをダウンロードした上で、実行させられると考えます。

Windows環境に構築したOracle WebLogic Serverを対象にした攻撃と考えられます。

観測通信内容(CVE-2017-10271)

ダウンロードされる不審なプログラムについてですが、VirusTotalにて調査したところ、別の不審なプログラムをダウンロードさせるダウンローダー型のマルウェアと考えます。

VirusTotalの結果

5. まとめ

脆弱性の影響を受けるOracle WebLogic Server を利用している場合、任意のコードを実行され、サーバが悪用される可能性があります。
また、2019年4月末に公開されたCVE-2019-2725については、今回の観測結果において、脆弱性の有無を確認する通信のみでした。しかし、攻撃コードが公開されていることや、リモートでコード実行可能なことから、今後、実被害に及ぶ攻撃通信が発生する可能性が懸念されます。脆弱性の影響を受けるバージョンのOracle WebLogic Serverをご利用の際は、システムへの影響をご確認の上、速やかに修正プログラムの適用を推奨します。

6.参考情報

著者プロフィール
西井 晃

2012年、KCCS入社
データセンターサービスやクラウドサービスにおいて、運用保守やサービス開発業務に従事。
2016年、SecureOWL Center (SOC) に配属後、セキュリティ監視運用やセキュリティサービス立ち上げを担当。現在は、セキュリティアナリストとして、セキュリティインシデントレスポンス業務に従事。KCCS-CSIRTの活動に参加し、世界平和を目指す。

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ