2025/01/23 SecurityOnline — Oracle は January 2025 Critical Patch Update の一環として、WebLogic Server の深刻な脆弱性 CVE-2025-21535 (CVSS:9.8) に対処した。この脆弱性の悪用に成功した未認証の攻撃者は、標的のシステム上でリモート・コード実行の可能性を手にする。
脆弱性 CVE-2025-21535 は、WebLogic Server バージョン 12.2.1.4.0/14.1.1.0.0 に影響をおよぼす。この脆弱性の原因は、T3/IIOP プロトコルを介した受信データに対する、WebLogic の不十分なフィルタリングにある。これらのプロトコルのいずれかが有効化されている場合において、攻撃者が手にするのは、この脆弱性を悪用するために特別に細工したリクエストの送信である。その結果として、システムが危険にさらされる可能性が生じる。
エンタープライズ環境の基盤となっている WebLogic は、Web サーバー/EJB コンテナ/JMS メッセージ・キュー/トランザクション管理などの、堅牢なサービスで人気を博している。WebLogic は、Java EE アプリケーション・サーバとして広く使用されているため、脆弱性 CVE-2025-21535 により重大なリスクが生じるとされる。
すでに Oracle はパッチをリリースし、この重大な脆弱性に対処している。また、速やかにパッチを適用できないユーザーに対しては、リスクを軽減するための、一時的な対策が提供されている。
- T3 プロトコルへのアクセス制限
WebLogic Server は、T3/T3s プロトコルへのアクセスを制御するための、接続フィルタ (weblogic.security.net.ConnectionFilterImpl) をデフォルトで提供している。このフィルタを設定することで、T3 プロトコルを悪用する不正な接続をブロックできる。 - IIOP プロトコルの無効化
IIOP プロトコルを無効化することで、このベクターを介した悪用を防げる。そのための操作は、WebLogic コンソールから実行できる:- 変更を有効化するために、WebLogic Server を再起動する。
- サービス > AdminServer > プロトコル に移動する。
- [IIOP を有効にする] の選択を解除する。
先週にリリースされた January 2025 Critical Patch Update で修正済みの CVE-2025-21535 ですが、RCE の脆弱性ですので、ご利用のチームは、ご注意ください。なお、前回の WebLogic のトピックは、2024/12/31 の「Oracle WebLogic Server の脆弱性 CVE-2024-21182:PoC が提供?」です。よろしければ、Oracle で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.