Security Affairsは12月1日(米国時間)、「DarkIRC botnet is targeting the critical Oracle WebLogic CVE-2020-14882Security Affairs」において、Oracle WebLogic Serverの脆弱性(CVE-2020-14882)を悪用するDarkIRCボットが確認されたと伝えた。

CVE-2020-14882は2020年10月に公開されたリモートから任意のコードが実行できる脆弱性で、Oracleより修正パッチが既にリリースされているが、このパッチを適用していない脆弱なホストを狙ってDarkIRCボットによる攻撃が仕掛けされているという。

CVE-2020-14882について、影響を受けるバージョンなどについては次のページを参照のこと。

この脆弱性は、WebLogic Serverの管理コンソールにアクセス可能な攻撃者によって、リモートから任意のコードを実行できるというもの。同時に報告された脆弱性「CVE-2020-14883」と組み合わせることにより、細工したHTTP GETリクエストを用いて認証なしで任意のコード実行が可能になる。Oracleが修正パッチを公開したあとも、この脆弱性を悪用した攻撃が多数確認されており、国内でも管理コンソールがデフォルトで使用する7001番ポートを探索するアクセスの増加が報告されている。

Security Affairsの記事は、Juniper Threatの研究者による報告をもとにしたもので、CVE-2020-14882を悪用したWebLogicへのアクティブな攻撃には少なくとも5つのバリエーションがあり、その1つにDarkIRCボットがあると説明している。このDarkIRCボットはインターネット上のフォーラムで75ドルで販売されていることが確認できたという。

このボットは、攻撃対象のコンピュータに自身をインストールし、次の機能をもった自動実行エントリを作成するという。

  • ブラウザからの情報の抜き取り
  • キーロガー
  • ビットコインの盗み出し
  • DDoS攻撃
  • ネットワーク内での増殖や拡散
  • ファイルのダウンロード
  • コマンドの実行

10月以降、DarkIRCボットをはじめとしてCVE-2020-14882を悪用した攻撃は多数報告されているとのことで、早急に修正パッチを適用することが推奨されている。