WebLogic Serverのゼロデイ脆弱性パッチが発行され、Oracleの注意がエクスプロイトがまだアクティブである-Appuals.com

セキュリティ / WebLogic Serverのゼロデイ脆弱性パッチが発行され、Oracleの警告エクスプロイトは引き続きアクティブ読んだ3分

オラクル

オラクルは、広く展開されている人気のあるWebLogicサーバーでセキュリティの脆弱性が積極的に悪用されていることを認めました。同社はパッチを発行していますが、WebLogicのゼロデイバグは現在活発に悪用されているため、ユーザーはできるだけ早くシステムを更新する必要があります。セキュリティ上の欠陥は、「重大な重大度」レベルでタグ付けされています。 Common Vulnerability ScoringSystemスコアまたはCVSS基本スコアは憂慮すべき9.8です。

システムの復元ウィンドウを設定する方法10

オラクル最近対処 WebLogicサーバーに影響を与える重大な脆弱性。重大なWebLogicゼロデイ脆弱性は、ユーザーのオンラインセキュリティを脅かします。このバグにより、リモートの攻撃者が被害者またはターゲットデバイスの完全な管理制御を取得できる可能性があります。それが十分に懸念されていない場合、内部に入ると、リモートの攻撃者は任意のコードを簡単に実行できます。コードのデプロイまたはアクティブ化はリモートで実行できます。 Oracleはシステムのパッチを迅速に発行しましたが、このWebLogicのゼロデイバグは積極的に悪用されていると見なされるため、更新をデプロイまたはインストールするのはサーバー管理者の責任です。

正式にCVE-2019-2729としてタグ付けされたOracleのSecurityAlert Advisorは、脅威は「Oracle WebLogic ServerWebサービスのXMLDecoderを介した逆シリアル化の脆弱性」であると述べています。このリモートコード実行の脆弱性は、認証なしでリモートで悪用される可能性があります。つまり、ユーザー名とパスワードを必要とせずにネットワーク経由で悪用される可能性があります。」

CVE-2019-2729のセキュリティの脆弱性は、重大な重大度レベルを獲得しています。 CVSSの基本スコア9.8は通常、最も深刻で重大なセキュリティの脅威のために予約されています。つまり、WebLogicサーバーの管理者は、Oracleによって発行されたパッチのデプロイを優先する必要があります。

Oracle WebLogicリモートコード実行（CVE-2019-2729）： https://t.co/xbfME9whWl #security pic.twitter.com/oyOyFybNfV
— f5 DevCentral（@devcentral） 2019年6月25日

中国のKnownSec404チームが最近実施した調査によると、セキュリティの脆弱性は積極的に追求または使用されています。チームは、新しいエクスプロイトが本質的に、CVE-2019–2725として公式にタグ付けされた既知のバグのパッチのバイパスであると強く感じています。言い換えれば、チームは、以前に発見されたセキュリティ上の欠陥に対処することを目的とした最後のパッチ内に、Oracleが誤って抜け穴を残した可能性があると感じています。ただし、Oracleは、対処したばかりのセキュリティの脆弱性は以前の脆弱性とはまったく関係がないことを公式に明らかにしています。で説明を提供することを目的としたブログ投稿ほぼ同じように、セキュリティプログラム管理担当副社長のジョンハイマンは、「このアラートで対処される問題は、セキュリティアラートCVE-2019-2725で対処されるような逆シリアル化の脆弱性ですが、明確な脆弱性であることに注意してください」と述べています。

この脆弱性は、ネットワークにアクセスできる攻撃者によって簡単に悪用される可能性があります。攻撃者は、最も一般的なネットワーク経路の1つであるHTTPを介したアクセスを必要とするだけです。攻撃者は、ネットワークを介して脆弱性を悪用するために認証資格情報を必要としません。この脆弱性が悪用されると、対象となるOracleWebLogicサーバーが乗っ取られる可能性があります。

Weblogic XMLDecoder RCE
CVE-2017-3506から始まり、CVE-2019-2729で終わります。私たちはOracleを狂わせ、最終的にはWHITELISTを使用して修正します。 pic.twitter.com/CWXN6zVAsQ
--pyn3rd（@ pyn3rd） 2019年6月20日

どのOracleWebLogic ServerがCVE-2019-2729に対して脆弱なままですか？

以前のセキュリティバグとの相関関係や接続に関係なく、セキュリティ研究者の何人かは、新しいWebLogicのゼロデイ脆弱性をOracleに積極的に報告しました。研究者によると、このバグはOracle WebLogic Serverバージョン10.3.6.0.0、12.1.3.0.0、12.2.1.3.0に影響を与えると報告されています。

興味深いことに、Oracleがセキュリティパッチを発行する前でさえ、システム管理者にはいくつかの回避策がありました。システムを迅速に保護したい人には、2つの別々のソリューションが提供されました。

シナリオ1：wls9_async_response.war、wls-wsat.warを見つけて削除し、Weblogicサービスを再起動します。シナリオ2：アクセスポリシー制御により、/ _ async / *および/ wls-wsat / *パスのURLアクセスを制御します。

セキュリティ研究者は、インターネットでアクセス可能な約42,000台のWebLogicサーバーを発見することができました。言うまでもなく、この脆弱性を悪用しようとしている攻撃者の大多数は、企業ネットワークを標的としています。攻撃の背後にある主な意図は、暗号マイニングマルウェアをドロップすることであるように見えます。サーバーには最も強力なコンピューティング能力がいくつかあり、そのようなマルウェアはそれを慎重に使用して暗号通貨をマイニングします。一部のレポートは、攻撃者がMoneroマイニングマルウェアを展開していることを示しています。攻撃者は、証明書ファイルを使用してマルウェアの亜種の悪意のあるコードを隠したことさえ知られていました。これは、マルウェア対策ソフトウェアによる検出を回避するための非常に一般的な手法です。