Tenable ブログ
ブログ通知を受信するCVE-2019-2729:オラクル、WebLogic Serverのデシリアライゼーションの脆弱性に対する定例外のパッチをリリース
定例外のセキュリティアドバイザリ、この2か月に2件目のOracle WebLogic Serverの脆弱性を解決
背景
6月18日、オラクルはOracle WebLogic Serverの重大な脆弱性に対処するために定例外のセキュリティアドバイザリを発表しました。
分析
CVE-2019-2729は、Oracle WebLogic Server WebサービスのXMLDecoderのデシリアライゼーションの脆弱性で、認証されていない攻撃者は、この脆弱性を突き、脆弱なシステムでリモートからコードを実行(RCE)する可能性があります。この脆弱性は、2019年4月17日にゼロデイとして報告され、2019年4月26日にパッチが適用された、もう1件のデシリアライゼーションの脆弱性、CVE-2019-2725、に続くものです。
6月15日、KnownSec 404チームの研究者らは、4月にCVE-2019-2725を修正したパッチのバイパスに関するブログを公開しました。 研究者らは、「実際に活発に悪用されている新しいOracle WebLogicデシリアライゼーションRCEゼロデイの脆弱性」を発見したと述べ、これらの新しい発見についてオラクルに報告しました。
オラクルはブログ記事で、CVE-2019-2725とCVE-2019-2729は両方ともデシリアライゼーションの脆弱性であるが、CVE-2019-2729は「独特な脆弱性」であると述べています。オラクルからのアドバイザリに続き、KnownSecは、CVE-2019-2729が実際に発見された脆弱性に対処していることを確認し、6月15日のブログを更新し、6月15日にブログを更新しました。
攻撃者は即時にCod-2019-2725をSodinokibiランサムウェア、GandCrabランサムウェアとXMRig暗号通貨マイナーのキャンペーンに組み入れ、約2ヵ月後、別のMonero cryptocurrencyマイニングキャンペーン、および、Internet of things(IoT)マルウェアの悪用ツールキットであるMiraiの新しい亜種の一部として攻撃者により引き続き悪用されています。CVE-2019-2729で概念実証(PoC)が利用可能になると、攻撃者の間で広く使用されると考えられます。
概念実証
このブログが公開された時点では、CVE-2019-2729に対する既知の概念実証コードはありません。しかし、KnownSec 404チームは、この脆弱性を突いた攻撃が実際に行われていることを報告しています。Tenableでは、最新のPoCがまもなく公開されると予想しています。
ソリューション
オラクルは、Oracle WebLogic Serverバージョン10.3.6.0.0および12.1.3.0.0に対する修正をリリースしました。このブログが公開された時点では、WebLogic Server 12.2.1.3.0に対する修正はリリースされていませんでした。
パッチ適用が現在実行可能でない場合は、CVE-2019-2725の以前の緩和策がCVE-2019-2729に適用されます。緩和策は次のとおりです。
- WebLogicサーバからwls9_async_response.war、wls-wsat.warパッケージを削除し、Weblogicサービスを再起動する。
- WebLogicサーバの“/_async/*”および“ /wls-wsat/” URLパスへのアクセスを制限するか、無効にする。
影響を受けているシステムの特定
この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点で こちら に表示されます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。Tenable.io60日間無料トライルを入手する。
関連記事
- Internet of Things
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning