0001あられお菓子 ★
2018/05/07(月) 12:03:09.94ID:CAP_USERhttp://www.itmedia.co.jp/news/articles/1805/07/news042.html
WebLogicの脆弱性が発表されてから2日後に、TCP 7001番ポートに対するスキャンが急増した
(出典:SANS Internet Storm Center)
http://image.itmedia.co.jp/news/articles/1805/07/ki_sans01.jpg
米Oracleが2018年4月の定例パッチで修正したWebLogicの脆弱性を突く攻撃が横行しているとして、
米セキュリティ機関のSANS Internet Storm Centerが注意を呼び掛けている。
WebLogicのリモートコード実行の脆弱性は、Oracleが2018年4月17日に公開した定例パッチで修正された。
SANSによると、その翌日には中国語のブログにこの脆弱性に関する技術情報が掲載され、19日には
GitHubでコンセプト実証コードが公開された。
その日以来、WebLogicの脆弱性発見を狙ったと思われるTCP 7001番ポートに対するスキャンが急増しているという。
SANSの調査では、最初の被害は、パッチが公開されたわずか数時間後の4月18日に発生していたことが判明。
仮想通貨「Monero」を採掘するマルウェアなどをダウンロードさせる攻撃が仕掛けられているという。
「脆弱性情報が公開されてから悪用されるまでの期間は、ますます短くなっている」とSANSは述べ、
「迅速にパッチをできなければ、予想されるインシデントからの復旧に、相当の時間をかけなければ
ならなくなる」と警告する。
今回の脆弱性については、WebLogicのコアで脆弱性が修正されたわけではなく、コマンド
ブラックリスティングを使って悪用を回避する措置が講じられていることから、迅速にパッチを適用した場合でも、
攻撃にさらされる恐れがあるという。
この対策をかわすことのできる悪用コードは確認されていないものの、WebLogicでの7001番ポートへの
アクセスは、出来る限り制限した方がいいとSANSは勧告している。