警察庁は11月15日、Java アプリケーションサーバである「WebLogic Server」の脆弱性探索が目的と考えられるアクセスの観測したと発表した。開発元のOracleは、同脆弱性が悪用された場合が遠隔からの任意のコードが実行可能となると脆弱性の危険性を認識しており、警察庁はWebLogic Serverを利用しているサイト管理者に対し、回避策の実施を推奨している。

今回の脆弱性観測は、Apache Commons Collectionsに存在する脆弱性に関連する。「Apache Commons Collections」は、The Apache Software Foundationがオープンソースで開発および公開しているJava言語のライブラリの1つ。

研究者グループによってApache Commons Collectionsに存在する脆弱性の詳細が11月6日に公表された。同脆弱性はすでに1月に別の研究者により発表されていたが、今回の公表では同ライブラリの脆弱性に起因する複数のソフトウェア群における脆弱性と、具体的な攻撃コードが明らかとなった。

警察庁では同攻撃コードの内容を元に、脆弱性が存在する複数のソフトウェアをまとめて探索することが可能なツールが公開されていることを確認した。これを受けて、The Apache Software Foundation も本件について、声明を発表し対応を開始したが、15日10時現在ではApache Commons Collectionsの修正されたバージョンは公開されていない。

The Apache Software Foundationは今回の問題について、Apache Commons Collectionsに限定されたものではなく、本質的には認証などを受けておらず信頼のできない相手から受け取ったデータを処理することに問題があるため、プログラムの開発者に対し、プログラムの実装を見直すべきであるとコメントしている。

WebLogic Serverは、Apache Commons Collectionsの脆弱性の影響を受けた。脆弱性が悪用された場合は、遠隔からの任意のコードが実行可能となる。警察庁の定点観測システムは、13日の18時~21時までの間、攻撃ツールで使用されている固有の文字列が含まれる7001/TCPに対するアクセスを観測した。

WebLogic Serverの脆弱性探索が目的と考えられるアクセス件数の推移(11月13日18時~21時)

当該ポートは、WebLogic Serverの初期設定で管理コンソールに使用されるポート。また観測しているリクエストの中に攻撃ツール固有の文字列が含まれていたことから、単にWebLogic Serverが稼動しているサーバの探索や、ログインの試行を行うことが目的ではなく、脆弱性が存在するサーバの探索が目的であると考えられる。このアクセスの発信元IPアドレスは、サーバのレンタル事業などを行う日本国外の企業が管理するものであった。

探索を実施している者の素性や目的などは不明であるが、この探索に応答を返すWebLogic Serverに対しては、さらに当該脆弱性を悪用した攻撃が実施される可能性も考えられる。

当該脆弱性の影響を受けるバージョンは「Oracle WebLogic Server 10.3.6.0」「Oracle WebLogic Server 12.1.2.0」「Oracle WebLogic Server 12.1.3.0」「Oracle WebLogic Server 12.2.1.0」の4種類。

なお、Oracleは当該脆弱性を修正した最新バージョンは「準備中」としており、15日時点ではアップデートが提供されていない。また、WebLogic Server 以外にも Apache Commons Collections の脆弱性の影響を受けるソフトウェアが多数報告されている。

Apache Commons Collectionsの脆弱性の影響を受けるソフトウェア

これらに加えて Apache Commons Collections に起因するものではないものの同様の脆弱性が存在するソフトウェアも明らかとなっている。これらのソフトウェアを使用している場合には、開発元等が公開する情報を参照して対策を実施することを推奨している。

Apache Commons Collectionsと同様の脆弱性が存在するソフトウェア