Oracle WebLogic Deserialization RCE Vulnerability (zero-day) Alert

このエントリは以下のエントリをベースにしています。
This entry is based on the following one written by KnownSec 404 Team (the core team from a well-known security company Knowsec in China).
https://medium.com/@knownseczoomeye/knownsec-404-team-oracle-weblogic-deserialization-rce-vulnerability-0day-alert-90dd9a79ae93

Synopsis

リモートコード実行の脆弱性(zero-day)により、リモートのOracle WebLogic Serverが影響を受けます。対象は10.3.6と12.1.3です。

Description

Oracle WebLogic Serverの wls9_asyncwls-wsat コンポーネントが原因でリモートコマンド実行 [Deserialization Remote Command Execution (RCE)] の脆弱性があります。この脆弱性は、 wls9_async_response.war および wls-wsat.war コンポーネントが有効になっているWeblogic Serverのすべてのバージョン(最新バージョンを含む)に影響します。

このアラートが発行されるまで、Oracleからは対応する修正はリリースされていないため、「0day」の脆弱性です。攻撃者がこの脆弱性を悪用して、許可なくリモートでコマンドを実行する可能性があります。そして現時点では、詳細をOracle WebLogic Serverの担当者に報告済みです。

(訳注)
2019/04/26 10:11 (JST) 現在、修正パッチは出ていないようです。また、現時点ではCVE番号はなく、CNVD-C-2019-48814 でトラッキングされているようです。
2019/04/27 (JST) 現在、CVE-2019-2725としてトラッキングされ、この脆弱性に対するパッチが提供されています。詳細は以下をご覧ください。

Oracle Security Alert Advisory – CVE-2019-2725
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

Impact in cyberspace

ZoomEyeは有名なサイバースペース検索エンジンでOracle WebLogic Serverを検索すると101,040件の結果が出てきます(2019年に限ると36,173件)。検索結果のほとんどはUSや中国に分布しています。

Temporary Solution

  1. 以下の2個のwarファイルを削除し、WebLogic Serverを再起動する
    • wls9_async_response.war
    • wls-wsat.war
  2. アクセスポリシー管理で以下のパスに対するURLアクセスを抑止する
    • /_async/*
    • /wls-wsat/*

Reference

[1] About Oracle WebLogic Server
https://www.oracle.com/middleware/weblogic/index.html
[2] April 17 CNVD releases vulnerability announcement
http://www.cnvd.org.cn/webinfo/show/4989
[3] Seebug vulnerability record
https://www.seebug.org/vuldb/ssvid-97920
[4] Zoomeye search engine Dork
https://www.zoomeye.org/searchResult?q=weblogic

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Google フォト

Google アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

%s と連携中