セキュリティ専門家は、攻撃者が脆弱性をすぐに狙う傾向があることを発見し、管理者にOracleのパッチを急いでインストールするよう勧告している。
SANS Institute は、テスト サーバーが稼働してからわずか数時間後に、同社のハニーポット システムの 1 つが、WebLogic の CVE-2018-2628 リモート コード実行脆弱性を悪用した攻撃の標的になったことを受けて警告を発しました。
SANSによると、この脆弱性は4月18日にオラクル社によって初めて公表されて以来、積極的に攻撃されてきた。セキュリティトレーニング会社SANSによると、パッチがリリースされてから最初の侵害を受けたサーバーが検出されるまでに、わずか3時間しかかからなかったという。
オラクルがハッカーを投入、254件のセキュリティバグを潰す
続きを読む
SANSによると、それ以来、攻撃は非常に蔓延しており、新しいシステムはオンラインになった直後からエクスプロイトの攻撃を受けるようになっているという。この事実を強調するため、SANSの研究者は今週初めに脆弱なサーバーを稼働させ、この脆弱性を悪用する試みを監視した。
稼働開始から3時間以内に、そのハニーポットシステムは、暗号通貨マイニングマルウェアをインストールして実行しようとする攻撃の標的となりました。
「脆弱性の公開と悪用を狙った攻撃の間のタイムウィンドウはますます狭まっているようだ」と研究者のレナート・マリーニョ氏は書いている。
「今回の出来事から、すぐにパッチを当てる時間がない人は、今後の出来事から適切に回復するためにさらに多くの時間を見つけなければならないということが分かります。」
脆弱性が急速に武器化されているため、研究者は管理者に対し、Oracle やその他のエンタープライズ ソフトウェア ベンダーからのパッチに注意を払い、できるだけ早くテストして更新を展開するようアドバイスしています。
しかし、この場合、単にパッチを適用するだけでは不十分な可能性があります。マリニョ氏は、問題のOracleのバグについては、研究者らがパッチを回避し、更新されたサーバー上でも脆弱性を悪用できる可能性があることを示していると指摘しています。
そのため、Marinho は企業に対し、短期的には WebLogic サーバー上の TCP/7001 ポートへのアクセスを可能な限り制限することをアドバイスしています。®
