日本であまり然話題になってないので、検証結果をブログにしました。
概要
4月17日、Oracle Fusion Middleware の Oracle WebLogic wls9-async、wls-wsatコンポーネントにゼロデイの脆弱性が存在する旨の情報が公開されました。
内容を確認する限り、2017年末にPoCがでたCVE-2017-10271と同じにおいがしました。
ZDNETの記事では、スキャン活動が始まっているとされており、確かに25日0時過ぎよりwls9-asyncコンポーネントの有無を調査している動きがありました。
そして、ついに25日お昼ごろには攻撃コードが公開され、同日14時頃より185.234.218.248からハニーポットで攻撃を検知しはじめました。
脆弱性の影響範囲
脆弱性の影響を受けるバージョンは以下となりますが、上記リンク先の情報であり、正確である保証はありません。
今回検証した12.1.3で、wls9-asyncがインストールされている状況では脆弱であることを確認しました。
・WebLogic 10.X
・WebLogic 12.1.3
検証
検証では、/_async/AsyncResponseServiceおよび、/wls-wsat/CoordinatorPortTypeで成功することを確認しました。
wls9-asyncコンポーネントを利用している場合、/_async/AsyncResponseServiceが公開され、以下の画像のような応答を返しますので、weblogicを利用されている方は是非確認することを推奨します。
対策
暫定対策ですが、/_async/* および /wls-wsat/* 宛の通信をURLフィルタリングが一番だと思います。
また、wls9-asyncおよび、wls-wsatコンポーネントを削除することで、現状の恒久対策となります。
最後に
10連休という社会人の皆様にとっては最高の大型連休前なのに、前回の2017年末みたいな脆弱性感があります。
攻撃者にとっては休日なんて関係ないので、是非URL規制でゴールデンウィークを乗り切ってほしいです。