CISA Warns of Attacks Exploiting Oracle WebLogic Vulnerability Patched in January
2023/05/02 SecurityWeek — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、KEV (Known Exploited Vulnerabilities) カタログに3件の脆弱性を追加したが、その中には 2023年1月にパッチが適用された Oracle WebLogic の脆弱性も含まれる。ただし、WebLogic の脆弱性の悪用について記述された、公的な報告は存在しないようだ。この脆弱性 CVE-2023-21839 は、リモート・コードの実行において悪用される可能性があり、攻撃者による対象サーバの完全な制御に至る恐れがある。この脆弱性は、Oracle の January 2023 Critical Patch Update (CPU) で修正されたものだ。
複数の研究者が知らせてくれたと、Oracle は述べている。この脆弱性は、認証およびユーザー操作を必要とせずに、リモートからの悪用が可能だと、同社は説明している。脆弱性 CVE-2023-21839 については、2月下旬からを PoC エクスプロイトが公開され、3月上旬には Shodan 検索エンジンで脆弱なシステムを特定できると、専門家たちが警告していた。
5月1日 (月) に CISA がカタログに追加した、もう1つの脆弱性は TP-Link Archer AX-21 ルーターに影響を及ぼす、リモート・コード実行の欠陥 CVE-2023-1389 である。この脆弱性は、 Zero Day Initiative が 2022年に開催したハッキング・コンテスト Pwn2Own で公開されたものであり、その悪用を証明したホワイト・ハッカーは $1 million の報奨金を獲得している。
最近になって、Zero Day Initiative の脅威ハンターたちは、Mirai ボットネットがCVE-2023-1389 の悪用を武器にしていることに気づいた。当初に確認された攻撃において、このエクスプロイトを悪用する Mirai ボットネットは、主に東欧のデバイスを標的にしていた。この悪用のニュースが流れた直後に TP-Link は、提供されているファームウェア・パッチをインストールするよう、顧客に促す声明を発表している。
CISA がカタログに追加した、3つ目のセキュリティホールは、任意のコード実行に悪用される可能性のある、Apache Log4j の脆弱性 CVE-2021-45046 である。その存在は、Log4Shell の脆弱性と同時期の、2021年に判明しているものだ。
CISA などの政府サイバー・セキュリティ機関は、2021年12月の時点で、脆弱性 CVE-2021-45046 が攻撃に悪用されることを警告していた。そのため、今になって KEV カタログに追加された理由が理解できない。
CISA KEV に関する記事は、4月に4本ほどありました。そして、今回の Oracle の脆弱性などの追加は、5月に入って最初のものとなります。また、TP-Link Archer と Apache Log4j の CVE-2021-45046 も追加されたとのことです。たしかに、Apache に関しては、いまさら感がありますね。よろしければ、以下の関連記事も、ご参照ください。
2023/03/09:Oracle Weblogic Server が標的8220 Gang
2023/02/03:CISA:Oracle E-Business Suite の PoC 悪用
2022/11/29:CISA:Oracle Fusion Middleware の脆弱性
2022/09/20:Oracle Cloud Infrastructure の脆弱性
IoT OT Security News 
You must be logged in to post a comment.