Oracle WebLogic Serverの脆弱性に対する通信の検知状況

記事をシェアする:

WebLogic Serverには、XML Decoderクラスのデシリアライズ処理に関連する脆弱性が過去に複数公開されています。これらの脆弱性について、概要を表1に示します。

表1 XML Decoderクラスのデシリアライズ処理に関連する脆弱性

リモートの攻撃者は脆弱性の悪用を試みるHTTPリクエストを送信することで、システム上でユーザー認証なしで任意のコマンドを実行する可能性があります。各脆弱性に対して攻撃検証コードが公開されており、Tokyo SOCにおいても調査または攻撃と考えられる通信を検知しています。

図1に、2019年4月1日～7月4日にTokyo SOCで検知した、各脆弱性を狙う通信の検知数推移を示します。
2017年に公開された脆弱性(CVE-2017-10271)は公開から1年半以上経過していますが、調査期間中を通して本脆弱性を狙う通信を日に数十件ずつ検知しています。また2019年4月末に公開された脆弱性(CVE-2019-2725)は、5月30日に検知数が1150件と増加しています。この多くは、アメリカの特定の送信元から複数顧客に対する通信を検知していました。最後に2019年6月に公開された脆弱性(CVE-2019-2729)は、他の2つの脆弱性と比較して検知数は少ないものの、脆弱性が公開された2日後の6月20日から本脆弱性を狙う通信を検知しています。6月20日から7月4日の間に26件検知しており、その半数は7月2日に集中していました。
いずれの脆弱性についても、今後も同様の検知傾向が続くものと考えられます。

図1 WebLogic Serverの脆弱性を狙う通信の検知数推移
(Tokyo SOC調べ　2019年4月1日～2019年7月4日)

次に、送信元IPアドレス国別割合を図2に示します。
2017年に公開された脆弱性(CVE-2017-10271)は、43の送信元が確認され、そのうちの約95%は中国と韓国が占めていました。一方、2019年に公開された2つの脆弱性(CVE-2019-2725とCVE-2019-2729)は共にアメリカを送信元とする通信が多く、2017年に公開された脆弱性とは傾向が異なることが分かります。
また2019年4月の脆弱性(CVE-2019-2725)は、185の送信元が確認され、2017年の脆弱性(CVE-2017-10271)よりも多くのホストが攻撃に使用されていました。ただし、アメリカや韓国など特定の送信元からの通信が多いことから、攻撃者はボットネット等を利用しているのではなく、少数の送信元IPアドレスを使い攻撃を行っているものと考えられます。

図2 送信元IPアドレスの所属国別割合
(Tokyo SOC調べ　2019年4月1日～2019年7月4日)

表2-表4に、各脆弱性の送信元IPアドレス情報と検知件数、攻撃対象として使用された脆弱性、および出現期間を示します。
2017年に公開された脆弱性(CVE-2017-10271)は、Tencent Cloudを送信元とする通信を多く検知していました。また、2019年4月に公開された脆弱性(CVE-2019-2725)ではMicrosoft Azureから複数環境に対する通信を多く検知しており、検知数が増加した5月30日に注目すると送信元の67%をMicrosoft Azure、約20%をTencent Cloudが占めていました。2019年6月に公開された脆弱性(CVE-2019-2729)は、送信元のうちの約60%を中国企業が運営するAlibaba Cloudが占めていました。このように、いずれの脆弱性においてもクラウドサービスからの通信を多く検知していることが分かります。
さらに、送信元IPアドレスの多くは、特定の脆弱性を対象とし、比較的短い期間で利用されていることも分かります。
このことから、攻撃者は自身の身元を隠すためにクラウド上のサーバーを経由し、1つのサーバーを短期間のみ使用していることが考えられます。

表2　CVE-2017-10271を狙う通信の送信元Top10と検知件数および関連情報
(Tokyo SOC調べ　2019年4月1日～2019年7月4日)

表3　CVE-2019-2725を狙う通信の送信元Top10と検知件数および関連情報
(Tokyo SOC調べ　2019年4月26日～2019年7月4日)

表4　CVE-2019-2729を狙う通信の送信元と検知件数および関連情報
(Tokyo SOC調べ　2019年6月18日～2019年7月4日)

最後に、Tokyo SOCで検知した通信に含まれるURLを表5に示します。
これらの脆弱性を狙う通信は、いずれも/wls-wsat/および/_async/配下のパッケージに対して行われていました。検知した通信に含まれているコマンドを分析すると、脆弱性の有無を調査する目的の他、PowerShellを利用してOS情報の取得を試みる等、システム上でコマンドを実行する通信も確認しています。

表5　WebLogic Serverの脆弱性を狙う通信の検知URL
(Tokyo SOC調べ　2019年4月1日～2019年7月4日)

これらの脆弱性については、ベンダーより修正済みバージョンがリリースされています[1]。影響を受けるシステムをご利用の場合にはベンダー情報をご参照いただき、最新バージョンへアップデートすることを推奨いたします。また、これらの脆弱性の影響を緩和するためにも、お客様システムで/wls-wsat/配下および/_async/配下に対するアクセスを信頼できる送信元からのみに制限することをお勧めいたします。

【参考情報】
[1]　Oracle Security Alert CVE-2019-2729
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html

【著者情報】

柳 優

2008年日本アイ・ビー・エム株式会社入社。TSDLにてミドルウェア製品エンジニアを経て、2015年よりTokyo Security Operation Center(SOC)にてセキュリティー・アナリスト業務に従事

鈴木 貴

2007年日本アイ・ビー・エム株式会社入社。Tokyo Security Operation Center(SOC)にてセキュリティー・アナリスト業務に従事。