Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Oracle WebLogic Server」狙う脆弱性攻撃を12月後半より観測 - 警察庁

「Oracle WebLogic Server」における既知の脆弱性を狙った攻撃が発生している問題で、警察庁においても12月後半より攻撃を観測していることを明らかにした。

問題の脆弱性「CVE-2017-10271」は、アプリケーションサーバ「Oracle WebLogic Server」で明らかとなった脆弱性。リモートより認証なく攻撃することが可能となる脆弱性で、Oracleでは2017年10月に公開した定例パッチで対処している。

SANSのセキュリティ研究者が2017年12月下旬より攻撃コードが公開されていることを確認しているが、同庁においても、2017年12月23日に海外のウェブサイトで攻撃コードを確認した。

また同日より管理用ポートとして使用する「TCP 7001番ポート」に対して、脆弱性を狙う特定パスを対象としたHTTPリクエストを観測しているという。

同庁によれば、大きくわけて「探索」と「コード実行」の2種類の攻撃活動を観測しているという。

同月23日より「GETリクエスト」により脆弱性が存在するパスにアクセスできるか探索する攻撃を検知。27日以降は、ヘッダを要求してパスの存在を確認するリクエストが一部見られたものの、大半は「POSTリクエスト」により、脆弱性を悪用してコマンドの実行を試みるものだった。

20180215_np_002.jpg
「CVE-2017-10271」を狙った攻撃の推移(グラフ:警察庁)

攻撃コマンドには、外部ウェブサーバからファイルをダウンロードし、実行を試みるものも存在。LinuxおよびWindows上で動作する「Oracle WebLogic Server」を標的としていたという。

「CVE-2017-10271」に関しては、JPCERTコーディネーションセンターがパッチが公開される以前にあたる2017年10月初旬より断続的に探索活動を観測。2008年に入ってからも引き続き展開されており、脆弱性が悪用された攻撃報告も受けていることから、注意喚起を行っている。

(Security NEXT - 2018/02/15 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

運用甘い脆弱なルータを狙う攻撃が大量発生 - 「WebLogic」脆弱性狙う攻撃にも注意を
2018年1Qの重要インシデント、前四半期から2割減
複数「WebLogic Server」脆弱性、早くも悪用や実証コード
緊急対応支援、「サーバ不正侵入」が半数超 - 仮想通貨発掘スクリプトが埋め込まれる被害も
「WebLogic」のRCE脆弱性狙う攻撃に注意 - パッチ公開数時間後より被害が発生
「Drupal」脆弱性で感染を拡大するボット「Muhstik」見つかる
12月下旬より「Oracle WebLogic Server」狙う攻撃が発生 - 仮想通貨採掘に悪用されたケースも
「Oracle WebLogic Server」狙う攻撃、10月以降国内で断続的に観測 - 被害報告も
汎用Javaライブラリに深刻な脆弱性 - 探索行為も発生中
セキュリティベンダーが9月18日前後のサイバー攻撃増加に注意喚起 - すでに攻撃予告も