8月の脆弱性：攻撃者が標的とするOracle WebLogicの脆弱性

8月、Tenable ResearchはOracle WebLogicサーバーのCVE-2018-2893を選出しました。その理由は、直後に複数の脅威アクターにより悪用されたからです。

目新しさ、複雑さ、もしくは単なる不気味さが、Tenableが選ぶ毎月の脆弱性が決定される際の基準の一部です。70名以上の研究チームメンバーから票を集めて最終候補者を集い、全チームに投票の機会を与えます。Tenable Research総出の経験と知識を合わせて、毎月の脆弱性を特定します。

背景

CVE-2018-2893は今月、当社の研究者の注目を集めました。これは、リモートによる未認証の攻撃を許すもので、9.8のCVSSv3スコアを得ました。この脆弱性は7月17日更新のOracle Critical Patchでパッチされましたが、研究者は7月21日には早くも悪用されていることを確認していました。2つの個別のグループが公開から数日後にこの脆弱性に大規模攻撃をしかけて悪用していました。セキュリティー侵害の複数の証拠の公開により加速された可能性が高いと思われます。

今月の脆弱性の選定基準

脆弱性の公開から悪用までの素早いターンアラウンドは注目する価値があります。脆弱性によってはパブリックエクスプロイトにさらされるまで数ヶ月かかることもあれば、価値が高いものではほぼ即座に悪用される場合もあります。直近のレポート、攻撃側の先行者利益を定量化では、最もよく見られる脆弱性の34%において、一般に公開されたその日にエクスプロイトが出現したことを報告しています。

WebLogicサーバーの脆弱性は広く知られたものとなり（2018年の現時点で9件が公開済み、CVSSv2スコアは5.8～7.5）、昨年は特に暗号通貨のマイニングに対して、次第に多くの脅威アクターが標的にしました。発見、公開された脆弱性に対してOracleがパッチをリリースする一方で、研究者がそれらの修正をくぐりぬける方法を何度も発見しており、問題をますます複雑になっています。CVE-2018-2893は当分の間、変化の兆しが見えない、脆弱性のトレンドであり続けるでしょう。

クリプトマイニングの価値は、これらの脆弱性を標的にする犯罪者の最も強い動機です。クリプトマイニングに加えて、Oracle WebLogicサーバーは、知的財産や個人情報などの機密データを含むシステムに頻繁に接続されており、これが攻撃者にとっての格好のターゲットになる可能性があります。

脆弱性の詳細

Oracle WeblogicのサブコンポーネントのWebLogic Server Core Componentsで発見された、最近パッチされた欠陥は、リモートの未認証の攻撃者がホストを完全にコントロールすることを許してしまいます。この脆弱性は、Javaオブジェクトの危険なデシリアル化により生じ、近年も何度かニュースで取り上げられている攻撃のベクトルです。T3プロトコルを経由したクラフテッドリクエストを使用して、攻撃者は悪用したWebLogicサーバーで任意のコードを実行することができ、当該ホストが完全にコントロールされることになりかねません。レポートでは、ソーシャルメディアに浮上し、パッチをくぐりぬけ、脆弱なホストを悪用する方法があると提起していますが、これはOracleに確認しないと分かりません。

追加情報

• Security Week記事、「最近パッチされたOracle WebLogicの欠陥が流出」
• SANS ISC InfoSec Forum 投稿、「Weblogic Exploit Code が一般に流出(CVE-2018-2893)」

現代のアタックサーフェスを総合的に管理するCyber Exposureプラットフォーム、Tenable.ioの詳細はこちら。Tenable.io Vulnerability Managementの60日間無料トライアルをお試し下さい。