Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Oracle WebLogic Server」狙う脆弱性攻撃を12月後半より観測 - 警察庁

「Oracle WebLogic Server」における既知の脆弱性を狙った攻撃が発生している問題で、警察庁においても12月後半より攻撃を観測していることを明らかにした。

問題の脆弱性「CVE-2017-10271」は、アプリケーションサーバ「Oracle WebLogic Server」で明らかとなった脆弱性。リモートより認証なく攻撃することが可能となる脆弱性で、Oracleでは2017年10月に公開した定例パッチで対処している。

SANSのセキュリティ研究者が2017年12月下旬より攻撃コードが公開されていることを確認しているが、同庁においても、2017年12月23日に海外のウェブサイトで攻撃コードを確認した。

また同日より管理用ポートとして使用する「TCP 7001番ポート」に対して、脆弱性を狙う特定パスを対象としたHTTPリクエストを観測しているという。

同庁によれば、大きくわけて「探索」と「コード実行」の2種類の攻撃活動を観測しているという。

同月23日より「GETリクエスト」により脆弱性が存在するパスにアクセスできるか探索する攻撃を検知。27日以降は、ヘッダを要求してパスの存在を確認するリクエストが一部見られたものの、大半は「POSTリクエスト」により、脆弱性を悪用してコマンドの実行を試みるものだった。

20180215_np_002.jpg
「CVE-2017-10271」を狙った攻撃の推移(グラフ:警察庁)

攻撃コマンドには、外部ウェブサーバからファイルをダウンロードし、実行を試みるものも存在。LinuxおよびWindows上で動作する「Oracle WebLogic Server」を標的としていたという。

「CVE-2017-10271」に関しては、JPCERTコーディネーションセンターがパッチが公開される以前にあたる2017年10月初旬より断続的に探索活動を観測。2008年に入ってからも引き続き展開されており、脆弱性が悪用された攻撃報告も受けていることから、注意喚起を行っている。

(Security NEXT - 2018/02/15 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「WebLogic Server」の既知脆弱性について注意喚起 - 米当局
Oracle、四半期定例パッチを公開 - のべ387件の脆弱性を修正
2022年に悪用が目立った脆弱性トップ12 - 2021年以前の脆弱性も引き続き標的に
Oracle、四半期定例パッチを公開 - のべ508件の脆弱性に対処
「WebLogic」など既知脆弱性3件に対する攻撃に注意喚起 - 米政府
米政府の悪用済み脆弱性リスト、あらたに12件を追加
米政府、悪用済み脆弱性リストに15件を追加
「Oracle WebLogic Server」に対する脆弱性攻撃、断続的に観測
早急に「WebLogic Server」脆弱性の修正を - パッチ公開より1週間強で攻撃発生
「WebLogic Server」に定例外アップデート - 悪用発生脆弱性と関連、早急に対応を