PoC Releases for Oracle WebLogic Server Servers RCE Flaw (CVE-2024-20931)
2024/02/07 SecurityOnline — 最近にパッチが適用された Oracle WebLogic Server の脆弱性 CVE-2024-20931 (CVSS:7.5) に対して、任意のコード実行を可能にする PoC エクスプロイト・コードが公開された。この脆弱性は、Oracle WebLogic Server の、特に T3/IIOP プロトコルに影響するものであり、新しいクラスのサイバー脅威に対する防御を強化することを目的とする、Oracle の 2024年1月の Patch Update で公開されたものだ。
この脆弱性は、2023年10月に Oracle が報告したものであり、同年の1月に発見された脆弱性 CVE-2023-21839 対策のバイパスだという。この脆弱性 CVE-2023-21839 が、Oracle WebLogic Server にも存在していたことから、CVE-2024-20931 の発見に至ったという。
CVE-2024-20931 の発見者である EagleCloud の Glassy は、この脆弱性に関する技術的な詳細と PoC コードも公開している。
Oracle が提供する、Java プラットフォームの重要なコンポーネントである Java Naming and Directory Interface (JNDI) API に、CVE-2024-20931 は存在する。この脆弱性は、T3/IIOP プロトコルによりバインドされたリモート・オブジェクトを、WebLogic Server が OpaqueReference インターフェイスに実装する際に出現する。
この脆弱性の核心は、これらのリモート・オブジェクトの getReferent 関数にある。特定の条件下で、getReferent 関数が呼び出されたときに、リモート・オブジェクトのクエリプロセス中に JNDI クエリが開始されることで、JNDI インジェクションが生じる可能性がある。このインジェクションは、サイバー攻撃者が強く求めている、リモート・コード実行 (RCE) につながる可能性があるため、重大な脅威となる。
Oracle WebLogic Server は広く使用されているため、脆弱性 CVE-2024-20931 の存在は特に懸念される。ZoomEye で検索すると、Oracle WebLogic Server のアクセス可能なインスタンスは、世界中で 300万近くも存在しており、その中でも米国/日本に集中していることが分かる。このインスタンス数の多さは、パッチが完全に配備される前に、脆弱性が悪用される可能性と、潜在的な影響の大きさを示している。
この脆弱性が攻撃に悪用された形跡は無いが、ユーザーに推奨されるのは、可能な限り早急にサーバをアップデートすることである。
Oracle WebLogic は、元々は BEA だったはずと、ときどき思い出します。Wikipedia で調べてみたら、買収が成立したのは 2008年と記されていました。たしか、当時としては破格の買収金額だったと記憶しています。そして日本でも、いまも広範に利用されていることを考えると、シンプルに凄いと思ってしまいます。その WebLogic の脆弱性に PoC が登場しました。ご利用のチームは、お気をつけください。よろしければ、WebLogic で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.