JPCERT/CCは17日、7001/tcpを狙うスキャンの増加観測を受け、Oracle WebLogic Serverの脆弱性(CVE-2017-10271)を狙う攻撃への注意喚起を行った。

Oracle WebLogic Serverの脆弱性(CVE-2017-10271)は、遠隔の第三者がコンポーネントに細工したリクエストを送ることで任意のコードが実行できるもので、10月には修正アップデートが提供されているが、Oracle WebLogic Serverが通信に用いる7001/tcpへのスキャンは年末から年明けにかけて大きく増加している。

  • 国内への 7001/tcp スキャンの観測状況 (2017年10月1日〜2018年1月16日)(JPCERT/CC<a href="https://www.jpcert.or.jp/at/2018/at180004.html" target="_blank">資料</a>より

    国内への 7001/tcp スキャンの観測状況 (2017年10月1日〜2018年1月16日)(JPCERT/CC資料より)

JPCERT/CCでは、ビットコインの採掘を狙うコインマイナーを仕込むWebサイト改ざんも同時期から増加しており、断言はできないものの関連性の疑いを指摘している。対象となるバージョンは以下の通り。

- Oracle WebLogic Server 10.3.6.0.0
- Oracle WebLogic Server 12.1.3.0.0
- Oracle WebLogic Server 12.2.1.1.0
- Oracle WebLogic Server 12.2.1.2.0

対策として他の脆弱性修正を含むアップデートがOracle Critical Patch Update Advisoryが17日に公開されており、修正済みのOracle WebLogic Server 12.2.1.3.0適用検討を呼びかけている。

Oracle Corporation
Oracle Critical Patch Update Advisory - October 2017
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

Oracle Corporation
Oracle Critical Patch Update Advisory - January 2018
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html

情報処理推進機構 (IPA)
Oracle WebLogic Server の脆弱性(CVE-2017-10271)を悪用する攻撃事例について
https://www.ipa.go.jp/security/ciadr/vul/20180115_WebLogicServer.html