CVE-2024-21182: PoC Exploit Code Published for Severe WebLogic Flaw
2024/12/31 SecurityOnline — Oracle WebLogic Server の深刻な脆弱性である CVE-2024-21182 (CVSS 7.5) に対する、PoC エクスプロイト・コードがセキュリティ研究者により公開された。この脆弱性が悪用されると、機密データへの不正アクセスやサーバ環境の完全な侵害などが生じ、システムが深刻な被害にさらされる恐れがある。
脆弱性 CVE-2024-21182 は、Java EE アプリケーション・サーバ Oracle WebLogic Server のコア・コンポーネントに存在し、バージョン 12.2.1.4.0/14.1.1.0.0 に影響を及ぼす。この脆弱性は、T3 または IIOP プロトコル経由でネットワーク・アクセスを行う、未認証の攻撃者に悪用される可能性があると、Oracle は述べている。
Oracle WebLogic Server は、Web ホスティング/EJB コンテナ/JMS メッセージ・キュー/トランザクション管理などの、幅広い機能を持つ。脆弱性 CVE-2024-21182 の悪用に成功した攻撃者は、重要なデータへの不正アクセスと、侵害した WebLogic Server からアクセス可能なデータへの不正アクセスを可能にするとされる。
さらに、CVE-2024 -21182 の PoC エクスプロイトが GitHub で公開されたことで、この脆弱性に対処する必要性が強調されている。それに加えて、攻撃者たちはパッチ未適用のシステムを悪用する既製のツールを手にしており、広範な攻撃の可能性が高まっている。 この脆弱性の悪用により侵害されたシステムにおいては、データ漏洩/業務中断/規制違反などが発生すると予測される。
すでに Oracle は、CVE-2024-21182 に対応するパッチをリリースしている。影響を受けるバージョンの管理者に対する推奨事項は、以下の通りだ:
- パッチの適用に関する詳細な手順について、Oracle の公式発表を参照する。
- 可能な限り早急に、パッチを適用する。
- 包括的な保護を確実にするため、パッチに付属する readme ファイルを参照し、インストール・ガイドラインを確認する。
速やかなパッチ適用が難しいユーザーに対しては、一時的な緩和策が Oracle から提供されている:
- T3 プロトコルへのアクセス制限:T3 プロトコル経由の不正な接続をブロックするために、WebLogic のデフォルト接続フィルターである、”weblogic.security.net.ConnectionFilterImpl” を使用する。T3 および T3s プロトコルへのアクセスを制御するためのルールを設定する。
- IIOP プロトコルの無効化:この攻撃ベクターの悪用を防ぐために、IIOP プロトコルを無効化する。
これらの対策を講じても、パッチ適用の代替策にはならない。ただし、脆弱性 CVE-2024-21182 の悪用の可能性を低減できる。
Oracle WebLogic Server に脆弱性に対して、PoC エクスプロイトが提供されています。ご利用のチームは、十分に ご注意ください。この脆弱性に関する第一報は、2024/07/18 の「Oracle WebLogic の脆弱性CVE-2024-21181 (CVSS 9.8) が FIX:悪用は容易!」となります。なお、文中の PoC に対するリンクですが、この文章を書いている時点では、飛べなくなっています。よろしければ、WebLogic で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.