「Oracle WebLogic Server」狙う脆弱性攻撃を12月後半より観測 - 警察庁

「Oracle WebLogic Server」における既知の脆弱性を狙った攻撃が発生している問題で、警察庁においても12月後半より攻撃を観測していることを明らかにした。

問題の脆弱性「CVE-2017-10271」は、アプリケーションサーバ「Oracle WebLogic Server」で明らかとなった脆弱性。リモートより認証なく攻撃することが可能となる脆弱性で、Oracleでは2017年10月に公開した定例パッチで対処している。

SANSのセキュリティ研究者が2017年12月下旬より攻撃コードが公開されていることを確認しているが、同庁においても、2017年12月23日に海外のウェブサイトで攻撃コードを確認した。

また同日より管理用ポートとして使用する「TCP 7001番ポート」に対して、脆弱性を狙う特定パスを対象としたHTTPリクエストを観測しているという。

同庁によれば、大きくわけて「探索」と「コード実行」の2種類の攻撃活動を観測しているという。

同月23日より「GETリクエスト」により脆弱性が存在するパスにアクセスできるか探索する攻撃を検知。27日以降は、ヘッダを要求してパスの存在を確認するリクエストが一部見られたものの、大半は「POSTリクエスト」により、脆弱性を悪用してコマンドの実行を試みるものだった。

「CVE-2017-10271」を狙った攻撃の推移（グラフ：警察庁）

攻撃コマンドには、外部ウェブサーバからファイルをダウンロードし、実行を試みるものも存在。LinuxおよびWindows上で動作する「Oracle WebLogic Server」を標的としていたという。

「CVE-2017-10271」に関しては、JPCERTコーディネーションセンターがパッチが公開される以前にあたる2017年10月初旬より断続的に探索活動を観測。2008年に入ってからも引き続き展開されており、脆弱性が悪用された攻撃報告も受けていることから、注意喚起を行っている。

（Security NEXT - 2018/02/15 ）ツイート