【注意喚起】Oracle WebLogicの脆弱性(CVE-2020-14882、CVE-2020-14883)を狙った攻撃を観測、早急な対策を

JSOCの山坂です。

Oracle社が10月20日に公開したWebLogic Serverの複数の脆弱性（CVE-2020-14882、CVE-2020-14883）を組み合わせることで、認証を経ることなく任意のコードが実行可能となる攻撃手法が公開されました。この脆弱性が悪用された場合、外部の攻撃者によりデータ改ざんや流出などの被害が発生する恐れがあります。

10月28日頃には、この脆弱性を悪用する攻撃コードがインターネット上に公開されたことをJSOCで確認しています。10月29日には脆弱性を悪用する攻撃通信を観測し始めました。JSOCにて観測している攻撃通信のほとんどは脆弱なホストを探索する内容ですが、このあと攻撃者が得た情報をもとにさらなる攻撃が行われる可能性があります。

• 影響を受ける可能性がある環境
• 対策方法
• 参考URL

影響を受ける可能性がある環境

以下の条件をすべて満たす場合にこの脆弱性の影響を受けます。

1. 脆弱なバージョンのWebLogic Serverを使用していること

影響を受けるバージョン

• Oracle WebLogic Server 10.3.6.0.0
• Oracle WebLogic Server 12.1.3.0.0
• Oracle WebLogic Server 12.2.1.3.0
• Oracle WebLogic Server 12.2.1.4.0
• Oracle WebLogic Server 14.1.1.0.0

2. 10月20日にOracle社から公開されたパッチを適用していないこと

3. 管理コンソール（標準では7001/tcpで動作）にアクセス可能であること

脆弱性の影響を受けるバージョンをご利用の場合でパッチの適用がされていない、かつ管理コンソールがインターネットからアクセス可能であった場合には、既にこの脆弱性が悪用され侵害を受けている可能性がありますので、侵害を受けた可能性を考慮した調査が必要です。

対策方法

1. 10月20日にOracle社より公開されたクリティカルパッチアップデート（CPU）を適用してください。
2. この脆弱性を狙った攻撃の多くはインターネット側から行われます。管理コンソールにインターネットからアクセスできる場合、アクセス制御を行うことで攻撃の影響を緩和できます。
3. 本番環境下において開発モード（Development Mode）を使用している場合には、本番モード（Production Mode）へ変更することをお勧めします。

2019年4月にWebLogicの脆弱性（CVE-2019-2725）が公開されたときには、攻撃コードが出回り始めてから数日後に大量の攻撃通信を観測しました。今回の脆弱性を狙った攻撃が同様の傾向をたどるとは限りませんが、攻撃通信の発生が容易であることから、大規模な攻撃が予想されます。

この週末は、飛び石連休でまとまった休みを取られる方もいらっしゃるかと思いますが、まずはその前にWebLogicが稼働する環境を確認し、脆弱性に対する対策が施されているかどうかをご確認ください。

参考URL

• Oracle Critical Patch Update Advisory - October 2020
• CVE - CVE-2020-14882
• CVE - CVE-2020-14883
• 2020年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起