Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Oracle WebLogic Server」狙う脆弱性攻撃を12月後半より観測 - 警察庁

「Oracle WebLogic Server」における既知の脆弱性を狙った攻撃が発生している問題で、警察庁においても12月後半より攻撃を観測していることを明らかにした。

問題の脆弱性「CVE-2017-10271」は、アプリケーションサーバ「Oracle WebLogic Server」で明らかとなった脆弱性。リモートより認証なく攻撃することが可能となる脆弱性で、Oracleでは2017年10月に公開した定例パッチで対処している。

SANSのセキュリティ研究者が2017年12月下旬より攻撃コードが公開されていることを確認しているが、同庁においても、2017年12月23日に海外のウェブサイトで攻撃コードを確認した。

また同日より管理用ポートとして使用する「TCP 7001番ポート」に対して、脆弱性を狙う特定パスを対象としたHTTPリクエストを観測しているという。

同庁によれば、大きくわけて「探索」と「コード実行」の2種類の攻撃活動を観測しているという。

同月23日より「GETリクエスト」により脆弱性が存在するパスにアクセスできるか探索する攻撃を検知。27日以降は、ヘッダを要求してパスの存在を確認するリクエストが一部見られたものの、大半は「POSTリクエスト」により、脆弱性を悪用してコマンドの実行を試みるものだった。

20180215_np_002.jpg
「CVE-2017-10271」を狙った攻撃の推移(グラフ:警察庁)

攻撃コマンドには、外部ウェブサーバからファイルをダウンロードし、実行を試みるものも存在。LinuxおよびWindows上で動作する「Oracle WebLogic Server」を標的としていたという。

「CVE-2017-10271」に関しては、JPCERTコーディネーションセンターがパッチが公開される以前にあたる2017年10月初旬より断続的に探索活動を観測。2008年に入ってからも引き続き展開されており、脆弱性が悪用された攻撃報告も受けていることから、注意喚起を行っている。

(Security NEXT - 2018/02/15 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

早急に「WebLogic Server」脆弱性の修正を - パッチ公開より1週間強で攻撃発生
「WebLogic Server」に定例外アップデート - 悪用発生脆弱性と関連、早急に対応を
米政府、中国関与のサイバー攻撃で利用された脆弱性25件を公表
「WebLogic Server」など既知脆弱性の悪用リスク高まる - 早急に更新を
ランサム「GandCrab」提供者が引退、キー削除か - ベンダーが最新の復号化ツール
「WebLogic」に深刻な脆弱性、リモートよりコード実行のおそれ - 4月の修正とは異なる脆弱性
「WebLogic」に対する攻撃、国内でも多数観測
「Oracle WebLogic」に脆弱性、攻撃が発生中 - 早急に更新を
脆弱性で感染広げるボットネット「Muhstik」 - 「WebLogic」を標的に
「Drupal」脆弱性で感染を拡大するボット「Muhstik」見つかる