このエントリは以下のエントリをベースにしています。
This entry is based on the following one written by KnownSec 404 Team (the core team from a well-known security company Knowsec in China).
https://medium.com/@knownseczoomeye/knownsec-404-team-oracle-weblogic-deserialization-rce-vulnerability-0day-alert-90dd9a79ae93

Synopsis

リモートコード実行の脆弱性（zero-day）により、リモートのOracle WebLogic Serverが影響を受けます。対象は10.3.6と12.1.3です。

Description

Oracle WebLogic Serverの wls9_async と wls-wsat コンポーネントが原因でリモートコマンド実行 [Deserialization Remote Command Execution (RCE)] の脆弱性があります。この脆弱性は、 wls9_async_response.war および wls-wsat.war コンポーネントが有効になっているWeblogic Serverのすべてのバージョン（最新バージョンを含む）に影響します。

このアラートが発行されるまで、Oracleからは対応する修正はリリースされていないため、「0day」の脆弱性です。攻撃者がこの脆弱性を悪用して、許可なくリモートでコマンドを実行する可能性があります。そして現時点では、詳細をOracle WebLogic Serverの担当者に報告済みです。

（訳注）
2019/04/26 10:11 (JST) 現在、修正パッチは出ていないようです。また、現時点ではCVE番号はなく、CNVD-C-2019-48814 でトラッキングされているようです。
2019/04/27 (JST) 現在、CVE-2019-2725としてトラッキングされ、この脆弱性に対するパッチが提供されています。詳細は以下をご覧ください。

Oracle Security Alert Advisory – CVE-2019-2725
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

Impact in cyberspace

ZoomEyeは有名なサイバースペース検索エンジンでOracle WebLogic Serverを検索すると101,040件の結果が出てきます（2019年に限ると36,173件）。検索結果のほとんどはUSや中国に分布しています。

Temporary Solution

1. 以下の2個のwarファイルを削除し、WebLogic Serverを再起動する
   • wls9_async_response.war
   • wls-wsat.war
2. アクセスポリシー管理で以下のパスに対するURLアクセスを抑止する
   • /_async/*
   • /wls-wsat/*

Reference

[1] About Oracle WebLogic Server
https://www.oracle.com/middleware/weblogic/index.html
[2] April 17 CNVD releases vulnerability announcement
http://www.cnvd.org.cn/webinfo/show/4989
[3] Seebug vulnerability record
https://www.seebug.org/vuldb/ssvid-97920
[4] Zoomeye search engine Dork
https://www.zoomeye.org/searchResult?q=weblogic