Help us understand the problem. What is going on with this article?

Weblogicの任意のコード実行(ゼロデイ)

日本であまり然話題になってないので、検証結果をブログにしました。

概要

4月17日、Oracle Fusion Middleware の Oracle WebLogic wls9-async、wls-wsatコンポーネントにゼロデイの脆弱性が存在する旨の情報が公開されました。
内容を確認する限り、2017年末にPoCがでたCVE-2017-10271と同じにおいがしました。

ZDNETの記事では、スキャン活動が始まっているとされており、確かに25日0時過ぎよりwls9-asyncコンポーネントの有無を調査している動きがありました。
そして、ついに25日お昼ごろには攻撃コードが公開され、同日14時頃より185.234.218.248からハニーポットで攻撃を検知しはじめました。

脆弱性の影響範囲

脆弱性の影響を受けるバージョンは以下となりますが、上記リンク先の情報であり、正確である保証はありません。
今回検証した12.1.3で、wls9-asyncがインストールされている状況では脆弱であることを確認しました。

・WebLogic 10.X
・WebLogic 12.1.3

検証

検証では、/_async/AsyncResponseServiceおよび、/wls-wsat/CoordinatorPortTypeで成功することを確認しました。
wls9-asyncコンポーネントを利用している場合、/_async/AsyncResponseServiceが公開され、以下の画像のような応答を返しますので、weblogicを利用されている方は是非確認することを推奨します。

geawgwea.png

対策

暫定対策ですが、/_async/* および /wls-wsat/* 宛の通信をURLフィルタリングが一番だと思います。
また、wls9-asyncおよび、wls-wsatコンポーネントを削除することで、現状の恒久対策となります。

最後に

10連休という社会人の皆様にとっては最高の大型連休前なのに、前回の2017年末みたいな脆弱性感があります。
攻撃者にとっては休日なんて関係ないので、是非URL規制でゴールデンウィークを乗り切ってほしいです。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away