WebLogicの脆弱性を突く攻撃が横行、パッチ公開の直後から

[鈴木聖子，ITmedia]

　米Oracleが2018年4月の定例パッチで修正したWebLogicの脆弱性を突く攻撃が横行しているとして、米セキュリティ機関のSANS Internet Storm Centerが注意を呼び掛けている。

　WebLogicのリモートコード実行の脆弱性は、Oracleが2018年4月17日に公開した定例パッチで修正された。SANSによると、その翌日には中国語のブログにこの脆弱性に関する技術情報が掲載され、19日にはGitHubでコンセプト実証コードが公開された。

　その日以来、WebLogicの脆弱性発見を狙ったと思われるTCP 7001番ポートに対するスキャンが急増しているという。

WebLogicの脆弱性が発表されてから2日後に、TCP 7001番ポートに対するスキャンが急増した（出典：SANS Internet Storm Center）

　SANSの調査では、最初の被害は、パッチが公開されたわずか数時間後の4月18日に発生していたことが判明。仮想通貨「Monero」を採掘するマルウェアなどをダウンロードさせる攻撃が仕掛けられているという。

　「脆弱性情報が公開されてから悪用されるまでの期間は、ますます短くなっている」とSANSは述べ、「迅速にパッチをできなければ、予想されるインシデントからの復旧に、相当の時間をかけなければならなくなる」と警告する。

　今回の脆弱性については、WebLogicのコアで脆弱性が修正されたわけではなく、コマンドブラックリスティングを使って悪用を回避する措置が講じられていることから、迅速にパッチを適用した場合でも、攻撃にさらされる恐れがあるという。

　この対策をかわすことのできる悪用コードは確認されていないものの、WebLogicでの7001番ポートへのアクセスは、出来る限り制限した方がいいとSANSは勧告している。