CVE-2019-2729:オラクル、WebLogic Serverのデシリアライゼーションの脆弱性に対する定例外のパッチをリリース
定例外のセキュリティアドバイザリ、この2か月に2件目のOracle WebLogic Serverの脆弱性を解決
背景
6月18日、オラクルはOracle WebLogic Serverの重大な脆弱性に対処するために定例外のセキュリティアドバイザリを発表しました。
分析
CVE-2019-2729は、Oracle WebLogic Server WebサービスのXMLDecoderのデシリアライゼーションの脆弱性で、認証されていない攻撃者は、この脆弱性を突き、脆弱なシステムでリモートからコードを実行(RCE)する可能性があります。この脆弱性は、2019年4月17日にゼロデイとして報告され、2019年4月26日にパッチが適用された、もう1件のデシリアライゼーションの脆弱性、CVE-2019-2725、に続くものです。
6月15日、KnownSec 404チームの研究者らは、4月にCVE-2019-2725を修正したパッチのバイパスに関するブログを公開しました。 研究者らは、「実際に活発に悪用されている新しいOracle WebLogicデシリアライゼーションRCEゼロデイの脆弱性」を発見したと述べ、これらの新しい発見についてオラクルに報告しました。
オラクルはブログ記事で、CVE-2019-2725とCVE-2019-2729は両方ともデシリアライゼーションの脆弱性であるが、CVE-2019-2729は「独特な脆弱性」であると述べています。オラクルからのアドバイザリに続き、KnownSecは、CVE-2019-2729が実際に発見された脆弱性に対処していることを確認し、6月15日のブログを更新し、6月15日にブログを更新しました。
攻撃者は即時にCod-2019-2725をSodinokibiランサムウェア、GandCrabランサムウェアとXMRig暗号通貨マイナーのキャンペーンに組み入れ、約2ヵ月後、別のMonero cryptocurrencyマイニングキャンペーン、および、Internet of things(IoT)マルウェアの悪用ツールキットであるMiraiの新しい亜種の一部として攻撃者により引き続き悪用されています。CVE-2019-2729で概念実証(PoC)が利用可能になると、攻撃者の間で広く使用されると考えられます。
概念実証
このブログが公開された時点では、CVE-2019-2729に対する既知の概念実証コードはありません。しかし、KnownSec 404チームは、この脆弱性を突いた攻撃が実際に行われていることを報告しています。Tenableでは、最新のPoCがまもなく公開されると予想しています。
ソリューション
オラクルは、Oracle WebLogic Serverバージョン10.3.6.0.0および12.1.3.0.0に対する修正をリリースしました。このブログが公開された時点では、WebLogic Server 12.2.1.3.0に対する修正はリリースされていませんでした。
パッチ適用が現在実行可能でない場合は、CVE-2019-2725の以前の緩和策がCVE-2019-2729に適用されます。緩和策は次のとおりです。
- WebLogicサーバからwls9_async_response.war、wls-wsat.warパッケージを削除し、Weblogicサービスを再起動する。
- WebLogicサーバの“/_async/*”および“ /wls-wsat/” URLパスへのアクセスを制限するか、無効にする。
影響を受けているシステムの特定
この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点で こちら に表示されます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。Tenable.io60日間無料トライルを入手する。
Satnam Narang
シニアスタッフリサーチエンジニア、セキュリティリスポンス
Tenable に 2018 年に入社した Satnam は、業界で 15 年以上の経歴があり (M86 Security、Symantec)、フィッシング対策協議会のメンバーとして、全米サイバーセキュリティアライアンス (NCSA) の「SNS ガイド」の編纂に寄与したほか、Twitter では巨大なスパムのボットネットを発見し、Tinderでもスパムボットを最初に報告するなど広く活動してきました。NBC テレビの Nightly News、Entertainment Tonight、また Bloomberg West や、Why Oh Why ポッドキャストに出演しています。
プライベートの時間には... 詩作に励み、ヒップホップも作曲します。音楽は生で聴くのが好きで、3人の姪との時間が楽しみ。フットボールやバスケットボール、ボリウッド映画や音楽、グログー (ベビーヨーダ) がお気に入りです。
関連記事
Cybersecurity Snapshot: CISA’s Best Cyber Advice on Securing Cloud, OT, Apps and More
In this special edition of the Cybersecurity Snapshot, we’re highlighting some of the most valuable guidance offered by the U.S. Cybersecurity and Infrastructure Security Agency in the past 12 months. Check out best practices, recommendations and insights on protecting your cloud environments, OT sy...
Cybersecurity Snapshot: Cyber Agencies Offer Best Practices for Network Edge Security, While OWASP Ranks Top Risks of Non-Human Identities
Check out recommendations from CISA and others on how to protect network edge devices and applications. Plus, OWASP has published the 10 risks associated with non-human identities. In addition, find out why ransomware payments plunged in 2024. And a new U.K. non-profit will categorize cyber incident...
Cybersecurity Snapshot: Many Employees Overshare Work Info with AI Tools, Report Finds, as ‘Cybersecurity Awareness Month’ Kicks Off
Check out the best practices cyber agencies are promoting during Cybersecurity Awareness Month, as a report warns that staffers are feeding confidential info to AI tools. Meanwhile, a study highlights how business decisions can derail OT security. Plus, get the latest on Active Directory security, C...
- Internet of Things
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning