Last Updated on 2024-06-04 16:25 by 荒木 啓介
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、Oracle WebLogic Serverに影響するセキュリティ脆弱性が積極的に悪用されているとして、その脆弱性を既知の悪用された脆弱性(KEV)カタログに追加した。この脆弱性はCVE-2017-3506(CVSSスコア:7.4)として追跡され、オペレーティングシステム(OS)コマンドインジェクションの問題であり、悪意のあるXMLドキュメントを含む特別に細工されたHTTPリクエストを介して任意のコードを実行し、脆弱なサーバーへの不正アクセスを得て完全に制御することが可能である。
中国に拠点を置くクリプトジャッキンググループである8220 Gang(またはWater Sigbinとしても知られる)は、この脆弱性を昨年初めから悪用して、未修正のデバイスをクリプトマイニングボットネットに組み込むために利用している。Trend Microによる最近の報告書によると、8220 GangはOracle WebLogicサーバーの脆弱性(CVE-2017-3506およびCVE-2023-21839)を悪用し、対象のオペレーティングシステムに応じてシェルまたはPowerShellスクリプトを使用して、メモリ内でファイルレスのクリプトマイナーを起動している。
CVE-2024-1086およびCVE-2024-24919の積極的な悪用を受けて、連邦機関には2024年6月24日までに最新の修正を適用し、潜在的な脅威からネットワークを保護することが推奨されている。
【ニュース解説】
Oracle WebLogic Serverに影響を与えるオペレーティングシステム(OS)コマンドインジェクションの脆弱性が、米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)によって積極的に悪用されていると報告されました。この脆弱性はCVE-2017-3506として識別され、CVSSスコアは7.4と評価されています。攻撃者は、悪意のあるXMLドキュメントを含む特別に細工されたHTTPリクエストを介して、脆弱なサーバーに任意のコードを実行し、完全に制御することが可能です。
特に、中国に拠点を置くクリプトジャッキンググループである8220 Gangは、この脆弱性を利用して、未修正のデバイスをクリプトマイニングボットネットに組み込む活動を行っています。このグループは、Oracle WebLogicサーバーの脆弱性を悪用し、対象のオペレーティングシステムに応じてシェルまたはPowerShellスクリプトを使用して、メモリ内でファイルレスのクリプトマイナーを起動する手法を採用しています。
このような攻撃は、企業や組織のネットワークセキュリティにとって重大な脅威をもたらします。不正なアクセスにより、機密情報の漏洩やシステムの乗っ取り、さらにはクリプトマイニングのためのリソースの不正利用など、多岐にわたるリスクが生じます。そのため、CISAは連邦機関に対し、2024年6月24日までに最新の修正を適用し、潜在的な脅威からネットワークを保護することを推奨しています。
この事例から、ソフトウェアの脆弱性を迅速に修正することの重要性が浮き彫りになります。また、攻撃者が新たな攻撃手法を常に模索していることから、セキュリティ対策は常に最新の状態に保つ必要があります。さらに、クリプトジャッキングのような攻撃は、被害を直接感じにくいため、発見が遅れがちです。そのため、定期的なセキュリティ監査や、異常なシステムリソースの使用を検知するための監視体制の整備も重要です。
長期的な視点では、このような脆弱性の発見と修正のプロセスをより迅速かつ効率的に行うための自動化ツールの開発や、セキュリティ教育の強化が求められます。また、国際的な協力による情報共有も、グローバルなサイバーセキュリティの向上に寄与するでしょう。
from Oracle WebLogic Server OS Command Injection Flaw Under Active Attack.
