WebLogicの脆弱性(CVE-2018-2628)スキャンを検知 修正パッチのバイパス方法も発覚
Oracle社のWebLogicであったリモートから任意のコード実行が可能な脆弱性(CVE-2018-2628)の修正パッチが4月17日(アメリカ時間)に出ました。それ以降、CVE-2018-2628の脆弱性が残っているサーバを探すスキャンが始まったようです。
スキャンが増えるまでの経緯
このWebLogicの脆弱性は、NSFOCUS Security TeamのLiao Xinxi と個人の研究者のloopx9により発見されました。その後、Xinxi氏が修正パッチが出た後にブログにCVE-2018-2628の解説を投稿し、それを見たBrianwrfというユーザによりPoCがGithubに公開され、すぐにスキャンが始まりました。
ただし、BleepingcomputerがGrecyNoise社から聞いた情報によると、まだ実際に攻撃が行われた通信は確認されていないようです。(2018年4月30日時点(アメリカ時間))
修正パッチのバイパス方法
修正パッチのバイパス方法は、Alibaba Cloud社のpyn3rdにより報告されました。
どうやら、Oracle社は問題部分をブラックリストに追加しただけだったためバイパス出来たようです。(バイパス方法は、1つ目のツイートのリプライを参照してください。)
Kevin Beaumontによると、対策としてはWebLogicのT3プロトコルで使用しているport 7001/tcp宛てへのインバウンド通信(外から内への通信)を防ぐことのようです。
※デフォルトはport 7001/tcpですが、デフォルト設定から変更しているのであれば変更したportを防ぐべきでしょう。
#CVE-2018-2628 Weblogic Server Deserialization Remote Command Execution. Unfortunately the Critical Patch Update of 2018.4 can be bypassed easily. pic.twitter.com/Vji19uv4zj
— pyn3rd (@pyn3rd) 2018年4月28日
yeah, Oracle just fix the vulnerability which reported by BLACKLIST, without any code audit.If they fix this one, maybe I will post another way to bypass the patch😂
— pyn3rd (@pyn3rd) 2018年4月29日
まとめ
Drupalも私の記憶が正しければブラックリストでの修正だったため再度修正パッチを出していたような気がします。こういった緊急を要する修正パッチは早めに適用すべきだとは思いますが、適切なアクセス制御等で脅威の軽減をすることも可能なため、修正パッチ以外での対策も考えて焦らず少し様子を見たほうがいいのかもしれませんね。
最後まで読んでいただき、ありがとうございました。
今日、明日仕事や学校がある方は頑張ってください!