Oracle WebLogic Server の脆弱性 CVE-2024-21006:PoC エクスプロイトが提供される

PoC Releases for CVE-2024-21006: Hackers Can Take Over Oracle WebLogic Server

2024/05/06 SecurityOnline — Oracle WebLogic Server の深刻な脆弱性 CVE-2024-21006 (CVSS:7.5) に対して、技術的な詳細と PoC コードが公開され、リモートの攻撃者による侵害の可能性が高まっている。この脆弱性の悪用に成功した攻撃者は、機密データへの不正アクセスや、Oracle WebLogic Server を完全に制御する可能性を手にする。

脆弱性の説明

この脆弱性は、Oracle WebLogic Server の T3/IIOP プロトコルに起因しており、未認証の攻撃者が悪意のリクエストを送信することで、影響を受けるサーバからの機密情報の抽出が可能になる。そのより、データへの深刻な不正アクセスにつながる可能性が生じ、深刻なケースにおいては、Oracle WebLogic Server 上のアクセス可能な、すべてのデータへの完全なアクセスにつながる恐れもある。

影響を受けるバージョンは、以下の通りである:

  • WebLogic Server 12.2.1.4.0
  • WebLogic Server 14.1.1.0.0

Oracle は、WebLogic Server の古いバージョンである 10.3.6.0/11.1.1.9/12.1.3.0 などへの保守を停止しているため、これらのサポート対象外のバージョンで運用している組織のリスクが高まっている。

技術的洞察

この欠陥を報告したセキュリティ研究者 pwnull は、技術的な詳細も公表している。


脆弱性の主な原因は、WebLogic Server におけるクライアント・ルックアップ操作の不適切な処理である。具体的には、OpaqueReference インターフェイスを実装したターゲット・クラスが関与している場合に、その “getReferent” メソッドが Java Naming and Directory Interface (JNDI) インジェクションを引き起こす可能性が生じる。すでに Oracle は、このリスクを軽減するために、”java.naming.factory.initial” や “java.naming.provider.url” のなどのプロパティに対する、チェックやコントロールを実装しているが、これらの対策だけでは、特定された悪用を防ぐには不十分だった。

さらに、InitialContext の初期化の最中に、”java.naming.factory.object” プロパティが “objectfactory” クラスに設定されると、このクラスの “getObjectInstance” メソッドも JNDI インジェクションを開始する可能性があるという。注目すべきは、WebLogic の “MessageDestinationObjectFactory” クラスが、このエクスプロイトに対して脆弱であったことだ。

最近になって、セキュリティ研究者 momika233 が、CVE-2024-21006 の PoC エクスプロイトコードを公開している。

セキュリティ対応と緩和策

この脆弱性が発見された後に Oracle は、いち早く欠陥に対処するためのパッチをリリースした。影響を受ける WebLogic Server バージョンのユーザーに推奨されるのは、これらのパッチを速やかにダウンロード/インストールし、包括的な保護を確保することである。このパッチは、Oracle の公式通知に掲載されており、インストール方法については、付属の Readme ファイルに詳しく記載されている。

このアップデートを、直ちにインストールできない場合には、一時的な保護対策の実施が推奨される:

  • T3 プロトコルへのアクセスを制限する:WebLogic のデフォルトの接続フィルタである “weblogic.security.net.ConnectionFilterImpl” を利用して、T3/T3s プロトコル専用のアクセスを制御する。
  • IIOP プロトコルを無効にする:WebLogic コンソールから Service > AdminServer > Protocol に移動し、”Enable IIOP” の選択を解除して、サーバを再起動した後に、この設定の変更を実施する。

これらの暫定的な解決策は、潜在的な悪用に対する本質的な安全策を提供するが、公式パッチにより提供される、包括的なセキュリティ強化に代わるものではない。

この脆弱性 CVE-2024-21006 について、お隣のキュレーション・チームに聞いてみたところ、2024年4月17日にパッチ提供されているとのことです。なお、Oracle のアップデート情報では、Fusion Middleware のカテゴリに WebLogic は含まれるとのことです。PoC が登場していますので、ご利用のチームはパッチの適用について、ご確認ください。なお、2024/04/22 にも「Oracle VirtualBox の脆弱性 CVE-2024-21111 に PoC:2024/04 Critical Patch で対処済み」という記事がポストされています。よろしければ、Oracle で検索と併せて、ご参照ください。