I am alive

セキュリティ関連の記事を中心に投稿してきます。発言は個人の責任で、所属する組織を代表するものではありません。

WebLogicの脆弱性(CVE-2018-2628)スキャンを検知 修正パッチのバイパス方法も発覚 

www.bleepingcomputer.com

Oracle社のWebLogicであったリモートから任意のコード実行が可能な脆弱性(CVE-2018-2628)の修正パッチが4月17日(アメリカ時間)に出ました。それ以降、CVE-2018-2628の脆弱性が残っているサーバを探すスキャンが始まったようです。 

スキャンが増えるまでの経緯 

このWebLogic脆弱性は、NSFOCUS Security TeamのLiao Xinxi と個人の研究者のloopx9により発見されました。その後、Xinxi氏が修正パッチが出た後にブログにCVE-2018-2628の解説を投稿し、それを見たBrianwrfというユーザによりPoCがGithubに公開され、すぐにスキャンが始まりました。  

ただし、BleepingcomputerがGrecyNoise社から聞いた情報によると、まだ実際に攻撃が行われた通信は確認されていないようです。(2018年4月30日時点(アメリカ時間))

f:id:anoymask:20180430233835p:plain

引用:Netlab

修正パッチのバイパス方法 

修正パッチのバイパス方法は、Alibaba Cloud社のpyn3rdにより報告されました。

どうやら、Oracle社は問題部分をブラックリストに追加しただけだったためバイパス出来たようです。(バイパス方法は、1つ目のツイートのリプライを参照してください。)

Kevin Beaumontによると、対策としてはWebLogicのT3プロトコルで使用しているport 7001/tcp宛てへのインバウンド通信(外から内への通信)を防ぐことのようです。

※デフォルトはport 7001/tcpですが、デフォルト設定から変更しているのであれば変更したportを防ぐべきでしょう。

 まとめ

Drupalも私の記憶が正しければブラックリストでの修正だったため再度修正パッチを出していたような気がします。こういった緊急を要する修正パッチは早めに適用すべきだとは思いますが、適切なアクセス制御等で脅威の軽減をすることも可能なため、修正パッチ以外での対策も考えて焦らず少し様子を見たほうがいいのかもしれませんね。

 

最後まで読んでいただき、ありがとうございました。

今日、明日仕事や学校がある方は頑張ってください!

参考

Oracle Critical Patch Update - April 2018

NVD - CVE-2018-2628

Oracle botches CVE-2018-2628 patch and hackers promptly start scanning for vulnerable WebLogic installsSecurity Affairs