Tenable ブログ
ブログ通知を受信するOracle WebLogicに認証を必要とせずリモートからコード実行が可能となる脆弱性が発見される(CVE-2019-2725)
Oracle WebLogicに新しいデシリアライズの脆弱性が見つかり、攻撃者がこのホストの脆弱性を突くことに成功した場合、リモートでコードを実行される恐れがあることが報告されています。
2019年5月3日更新: 以下の解決策のセクションは、利用可能なOracleの更新プログラムを反映するように更新され、緩和策のセクションはさらに明確化にするために改訂されました。
背景
4月17日、中国国家脆弱性データベース(CNVD)は、Oracle WebLogicにおける未認証のリモートコマンド実行(RCE)の脆弱性(CNVD-C-2019-48814)に関するセキュリティ情報を公開しました。Oracle WebLogic Serverは、Webアプリケーションのデプロイメントおよび管理のためのミドルウェアです。攻撃者は、リクエストをWebLogic Serverに送信し、リクエストを完成させることにより、リモートから任意のコードを実行する可能性があります。
分析
Tenable Researchは、攻撃とそのリスクに関する詳細を把握するために、この脆弱性を調査しました。本脆弱性を突く攻撃のしくみやCVE-2017-10271との違いについての情報の公開後、Tenableは、最新のOracle CPUが適用され、最新バージョンのWeb Logicサーバに更新されたターゲットに対して、実用的な概念実証(PoC)を作成しました。
攻撃者は、細工したリクエストXMLリクエストをWebLogicサーバに送信し、特定の悪意のあるホストにアクセスしてリクエストを完了するように指示するコードを実行し、WebLogicサーバは悪意のあるホストから追加のエクスプロイトを含むXML応答を受け取ります。
概念実証
私たちは公開されているいくつかのPoCコードを確認し、以下のビデオで1つのPoCの修正版を紹介しました。
ソリューション
Oracleはこの脆弱性に対する正式な修正(こちらから入手)をリリースしました。
次の回避策の手順は、Oracleからの更新プログラムを適用することができないお客様にご利用いただけます。これらの手順を両方とも実行する必要があります。
- WebLogicサーバからwls9_async_response.war, wls-wsat.warパッケージを削除し、Weblogic serviceを再起動する。
- WebLogicサーバの“/_async/*”および“ /wls-wsat/” URLパスへのアクセスを制限するか、無効にする。
さらに、Tenableは組織のホワイトリストでWebLogicサーバの信頼できるソースを確認することをお勧めします。現時点では、この脆弱性に対する既知のエクスプロイトを実行するには、サーバが悪質なホストにアクセスすることが必要です。悪意のあるホストが信頼されず、組織のホワイトリストに載っていない場合、現在利用可能な既知のエクスプロイトに対する攻撃のリスクを低下させることができます。
影響を受けているシステムの特定
この脆弱性を特定するためのプラグイン一覧は、リリースされる度にこちらに表示されます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
関連記事
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning