各位
Oracle WebLogic Server の脆弱性 (CVE-2017-10271) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180004.html
I. 概要JPCERT/CC では、Oracle WebLogic Server の脆弱性 (CVE-2017-10271) を狙ったとみられるスキャンを確認しています。
図1: 国内への 7001/tcp スキャンの観測状況 (2017年10月1日〜2018年1月16日)
また、JPCERT/CC では、本脆弱性を悪用した攻撃の報告を受けております。なお、本脆弱性との関連性は断言できませんが 2017年10月以降、コインマイナーが仕込まれる Webサイトの改ざんの増加を確認しています。
本脆弱性では、遠隔の第三者が Oracle WebLogic Server のコンポーネントである WLS Security に対して細工したリクエストを送ることで、サーバ実行ユーザ権限で任意のコードを実行することが可能となるものです。また、本脆弱性に対する実証コードが公開されており、JPCERT/CC でも公開されている実証コードが動作することを確認しています。
本脆弱性の修正バージョンは 2017年10月18日に公開されましたクリティカルパッチアップデートで提供されています。該当のバージョンを使用しているユーザは「III. 対策」を参考に早期の対応を検討してください。
II. 対象次のバージョンの Oracle WebLogic Server が本脆弱性の影響を受けます。
- Oracle WebLogic Server 10.3.6.0.0
- Oracle WebLogic Server 12.1.3.0.0
- Oracle WebLogic Server 12.2.1.1.0
- Oracle WebLogic Server 12.2.1.2.0
III. 対策Oracle より、修正済みのバージョンが提供されています。修正済みのバージョンを適用することをご検討ください。
- Oracle WebLogic Server 12.2.1.3.0
なお、2018年1月17日に Oracle よりクリティカルパッチアップデートが公開されています。今回のクリティカルパッチアップデートでは本脆弱性以外の脆弱性も修正されています。引き続き、Oracle からの情報を参考に最新バージョンの適用もご検討ください。
IV. 参考情報
Oracle Corporation
Oracle Critical Patch Update Advisory - October 2017
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
Oracle Corporation
Oracle Critical Patch Update Advisory - January 2018
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
情報処理推進機構 (IPA)
Oracle WebLogic Server の脆弱性(CVE-2017-10271)を悪用する攻撃事例について
https://www.ipa.go.jp/security/ciadr/vul/20180115_WebLogicServer.html
今回の件につきまして当センターまで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2018-0004
JPCERT/CC
2018-01-17
JPCERT/CC Alert 2018-01-17
Oracle WebLogic Server の脆弱性 (CVE-2017-10271) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180004.html
I. 概要JPCERT/CC では、Oracle WebLogic Server の脆弱性 (CVE-2017-10271) を狙ったとみられるスキャンを確認しています。
図1: 国内への 7001/tcp スキャンの観測状況 (2017年10月1日〜2018年1月16日)
また、JPCERT/CC では、本脆弱性を悪用した攻撃の報告を受けております。なお、本脆弱性との関連性は断言できませんが 2017年10月以降、コインマイナーが仕込まれる Webサイトの改ざんの増加を確認しています。
本脆弱性では、遠隔の第三者が Oracle WebLogic Server のコンポーネントである WLS Security に対して細工したリクエストを送ることで、サーバ実行ユーザ権限で任意のコードを実行することが可能となるものです。また、本脆弱性に対する実証コードが公開されており、JPCERT/CC でも公開されている実証コードが動作することを確認しています。
本脆弱性の修正バージョンは 2017年10月18日に公開されましたクリティカルパッチアップデートで提供されています。該当のバージョンを使用しているユーザは「III. 対策」を参考に早期の対応を検討してください。
II. 対象次のバージョンの Oracle WebLogic Server が本脆弱性の影響を受けます。
- Oracle WebLogic Server 10.3.6.0.0
- Oracle WebLogic Server 12.1.3.0.0
- Oracle WebLogic Server 12.2.1.1.0
- Oracle WebLogic Server 12.2.1.2.0
III. 対策Oracle より、修正済みのバージョンが提供されています。修正済みのバージョンを適用することをご検討ください。
- Oracle WebLogic Server 12.2.1.3.0
なお、2018年1月17日に Oracle よりクリティカルパッチアップデートが公開されています。今回のクリティカルパッチアップデートでは本脆弱性以外の脆弱性も修正されています。引き続き、Oracle からの情報を参考に最新バージョンの適用もご検討ください。
IV. 参考情報
Oracle Corporation
Oracle Critical Patch Update Advisory - October 2017
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
Oracle Corporation
Oracle Critical Patch Update Advisory - January 2018
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
情報処理推進機構 (IPA)
Oracle WebLogic Server の脆弱性(CVE-2017-10271)を悪用する攻撃事例について
https://www.ipa.go.jp/security/ciadr/vul/20180115_WebLogicServer.html
今回の件につきまして当センターまで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/