Oracle WebLogic Server の脆弱性を悪用する攻撃事例について

Oracle WebLogic Server の脆弱性(CVE-2017-10271)を悪用する攻撃事例について

最終更新日:2018年1月15日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

Oracle Fusion Middleware の Oracle WebLogic Server コンポーネントは、多くの商用ウェブサイトや企業アプリケーションの構築等に利用されているソフトウェア製品です。

2017年12月下旬より、この Oracle WebLogic Server コンポーネントに発見された脆弱性(CVE-2017-10271)を悪用する攻撃事例が報告されています。

本脆弱性は、昨年10月に修正プログラムがリリースされていますが、2017年12月下旬に公開された攻撃コードが悪用され、修正パッチが適用されていないシステムに対して 悪意のあるコインマイナー(仮想通貨をマイニングするプログラム)を仕込まれる攻撃事例が報告されています。

確認されている攻撃事例では、コインマイナーにより仮想通貨をマイニングすることが目的と考えられていますが、使用されている脆弱性は他の目的にも悪用できます。

本脆弱性が悪用された場合、遠隔の攻撃者により、情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 攻撃が行われる可能性があります。

本脆弱性についてはシステムを確認し、必要に応じてできるだけ早く修正プログラムを適用してください。

影響を受けるシステム

  • Oracle WebLogic Server 10.3.6.0.0
  • Oracle WebLogic Server 12.1.3.0.0
  • Oracle WebLogic Server 12.2.1.1.0
  • Oracle WebLogic Server 12.2.1.2.0

対策

1.脆弱性の解消 – 修正プログラムの適用する

各ベンダから提供されている修正プログラムを適用して下さい。各ベンダの対策状況は下記リンクよりご確認ください。

2.侵害の確認 – 怪しいプロセスが動作していないことを確認する

脆弱性の影響を受けるシステムを利用していた場合、既にシステムが侵害されている可能性があります。

  • システム上で動作するプロセスを確認し、CPU使用率が高い怪しいプロセス等(コインマイナーの疑いがあるプロセス)がないかご確認ください。
  • 情報の漏えいや改ざんといった被害を受けていないことも併せてご確認ください。

参考情報

  • サイバーセキュリティ注意喚起サービス「icat for JSON」
    ~Webコンテンツ内にHTMLタグを記載することで、IPAから発信する「重要なセキュリティ情報」をリアルタイムに自組織内のWebサイト上などに表示できます。脆弱性対策の促進にご活用ください。~
    https://www.ipa.go.jp/security/vuln/icat.html

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンターE-mail:

※個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。

更新履歴

2018年1月15日 掲載