CVE-2024-21216 (CVSS 9.8): Oracle WebLogic Flaw That Could Give Attackers Full Control
2024/10/20 SecurityOnline — 先日に Oracle がリリースした October 2024 Critical Patch Update (CPU) は、広範な製品に影響を及ぼす 329件の脆弱性に対応するものである。 その中に含まれるものには、広く使用されている Java ベースのアプリケーション・サーバ・プラットフォームである、Oracle WebLogic Server Core に存在する、5つの深刻な脆弱性がある。これらの脆弱性に対して、パッチを適用せずに放置すると、データ漏洩/サービス拒否 (DoS) 攻撃/システムの完全な乗っ取りなどの深刻なリスクが、ユーザーにもたらされる可能性が生じる。
これらの脆弱性で、最も深刻とされる CVE-2024-21216(CVSS 9.8)は、認証されていないリモートの攻撃者に対して、T3 または IIOP プロトコル経由でのシステムの悪用を許すものである。
この脆弱性が悪用されると、システム全体が乗っ取られ、攻撃者にサーバを完全に制御されてしまう可能性が生じる。この脆弱性は、Oracle WebLogic Server のバージョン 12.2.1.4.0/14.1.1.0.0 に影響を及ぶものであり、CVSS スコアが高く評価されていることから、その深刻さが示唆される。
単純なネットワーク・アクセスを持つ攻撃者であれば、WebLogic のデフォルトで有効化されている T3 および IIOP プロトコル経由で、脆弱性 CVE-2024-21216 を悪用し、WebLogic Server の侵害を達成できる。その結果として攻撃者は、ユーザーの操作を必要とすることなく、侵害したサーバの完全な制御を可能にする。
さらに、4件の脆弱性 CVE-2024-21274/CVE-2024-21215/CVE-2024-21234/CVE-2024-21260 (CVSS:7.5) も、WebLogic Server の同じバージョンに影響を与えるものだ。これらの脆弱性により、サービス拒否 (DoS) 状態や、機密データへの不正アクセスが生じる可能性がある。
WebLogic と他の Java プログラム間の通信に使用される T3/IIOP プロトコルは、WebLogic のデフォルトで有効化されていることが多いため、これらの脆弱性は特に懸念されるべきものである。その悪用に成功した攻撃者に対して、機密データへの不正アクセスや、重要なサービスの妨害といった可能性を与えることになる。
すでに Oracle はパッチをリリースし、これらの脆弱性を解決するための措置を講じている。すべてのユーザーに強く推奨されるのは、特に T3/IIOP プロトコルをインターネットに公開している WebLogic インスタンスに対して、直ちにアップデートを適用することである。これらの重要なパッチ適用を怠ると、リモートからの悪用や深刻な業務中断のリスクが高まることになる。
Oracle の年に4回のアップデートが、日本時間の 10月16日の朝にありました。Microsoft の日と同様に、お隣のキュレーション・チームはてんてこ舞いでした。みなさん、テンパっていて機嫌が悪いので、こういう日には近づかないようにしています。この記事でも取り上げられていますが、やはり、WebLogic の脆弱性に注目が集まるようです。よろしければ、Oracle で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.