オラクル・ウェブロジック（Oracle Weblogic）のRCE 脆弱性 - CVE-2023-21839

本投稿では深刻なリモートコードの脆弱性である Oracle（オラクル）のウェブロジック・サーバー（WebLogic Server）の最新脆弱性について語ります。オラクルが開発したJavaウェブ・アプリケーション・サーバーのウェブロジック・サーバーを狙うCVE-2023-21839はリモートコード実行（Remote Code Execution、RCE）に悪用されかねない脆弱性であり、約3か月前に初めて言及されました。データベースの管理システムおよび関連ハードウェア、ソフトウェア、クラウドシステムを開発・提供するグローバルサービスであるため、企業や政府機関のような大規模の顧客の被害は大きかったです。  

既に大きいイシューになったオラクルRCE脆弱性

2020年10月、ベトナムのあるセキュリティ研究員がウェブロジック・サーバーの製品で脆弱性を発見し、どれだけ攻撃しやすいかについて詳細な技術情報を公開しました。様々なメディアでその脆弱性「CVE-2020-14882」を言及し、報道してオラクルは公式的に致命的なウェブロジック・サーバーの脆弱性を認め、パッチを開発しました。しかし、むしろパッチ後に活発なエクスプロイト攻撃が急増しました。

当時のオラクル緊急セキュリティパッチの公表

オラクルは、脆弱なウェブロジック・ソフトウェアで認証プロセスを通らず被害者のサーバーで任意コートを実行することができるため、可能な限り迅速にパッチを適用することを勧告しました。セキュリティパッチが配布されてから2年半が経った今、未だに当脆弱性を保有するサーバーがあるかを脅威インテリジェンス検索エンジンのCriminal IPで確認してみました。

• https://www.criminalip.io/ja/asset/search?query=cve_id%3A+CVE-2020-14882

Search Query: cve_id : CVE-2020-14882

 CVE-2020-14882脆弱性に漏洩されたサーバーを検索した結果

IT 資産検索では脆弱性検索だけでもIPごとの国分布、オープンポート、サービス、ASネーム、製品の現況を確認でき、それらの情報を通じてセキュリティポリシーに違反するオープンポート、脆弱なIPの有無などを点検することができます。

オラクルのウェブロジックについて

今度は特定の脆弱性に限らず、IT資産検索のProductフィルターで検知されるオラクル・ウェブロジック・サーバーを使用するIPアドレスについて深く調べたいと思います。 

• https://www.criminalip.io/ja/asset/search?query=product%3A+Weblogic+server

Search Query: product: Weblogic server

オラクル・ウェブロジック・サーバーを利用するIPアドレスの検索結果

オラクル・ウェブロジック・サーバーを利用する国家統計

オラクルの主な顧客であるアメリカ、中国、日本は自然に上位の1、2、3位を占めました。むろん、ウェブロジック・サーバーを使用する国の現況がオラクルのRCE脆弱性に漏洩された国の現況とは限らないです。例えば、3番目でウェブロジック・サーバーを使用する日本は上記の脆弱性に漏洩された国のグラフから外されたことが分かります。つまり、サイバーセキュリティの強化、定期点検、パッチの適用を通じて敏感な情報漏れまたは、企業・政府機関のような大規模の顧客の被害を減らすための努力として解析できるでしょう。 

オラクルのウェブロジック・サーバーで使うポートの統計

大方のウェブサイトはポート443とポート80を利用してセキュリティ連結設定、データの暗号化または、必要なウェブサーバーをつなげます。ポート8000とポート8080はユーザーの指定によって特定のアプリケーションや開発およびテストの目的でよく使われます。

ここで注目すべきポートは主にウェブロジック・サーバーによって使われるポート7001です。2018年にCVE-2018-2628（Javaの逆シリアル化脆弱性を利用したリモートコード実行）という深刻な脆弱性が発見されたが、オラクルは迅速にパッチを作られませんでした。パッチバイパスの可能性が提示されにつれて臨時の対応として、脆弱性に影響を受けるサービスポート（7001番）に対しては承認されたシステムと管理者のみアクセスできるようにファイアウォールなどでアクセス・コントロールが必要だと勧告することもありました。

オラクル・ウェブロジックRCE攻撃の予防チェックリストおよび脆弱性の措置法

1. 最新バージョンのウェブロジック・アプリケーションを使用：

• 最新バージョンのウェブロジック・アプリケーションを使用し、脆弱性が解決されたセキュリティパッチを適用する
• オラクルの公式サイトでセキュリティパッチおよびアップデートを確認し、適用する
  
  

2. 外部アクセスの制限：

• ウェブロジック・サーバーに対して外部アクセスをブロックする
• アックス権限を最小限で制限し、必要なユーザーのみアクセスできるように設定する
• ユーザーの認証および権限付与の機能を用いて安全なアクセスを管理する

3. ウェブ・ファイアウォールの設定：

• ウェブロジック・サーバーにウェブ・ファイアウォールを設置し、悪性トラフィックをブロックする
• ウェブ・ファイアウォールの設定でウェブロジック・サーバーへのリクエストを検査し、潜在的な悪性行為をブロックする
  
  

4. ウェブロジックのモニタリング：

• ウェブロジックのログをリアルタイムでモニタリングし、不審なアクセスや悪性行為を検知する
• 異常行為を検知した場合、迅速に対応を備えて対応する

上記のチェックリストと方法に従い、Criminal IP検索エンジンでインターネットに公開された脆弱性データベースをモニタリングすることでオラクル・ウェブロジックのRCE攻撃に備えられ、事前に予防できます。

このレポートはサイバー脅威インテリジェンス検索エンジン Criminal IP のデータに基づいて作成されました。今すぐ Criminal IP の無料アカウントを作成すると、レポートに引用された検索結果を自ら確認でき、より膨大な脅威インテリジェンスを自由に検索できます。

>> Criminal IP 無料ベータ版サービス案内

データの提供

• Criminal IP （https://www.criminalip.io/ja）

ご参照

Citrix脆弱性をOSINTで検知 : CVE-2022-27510, CVE-2022-27518

• https://blog.criminalip.co.jp/posts/42020459?categoryIds=7685501