Oracle WebLogic Serverの脆弱性 (CVE-2021-2109) によるサーバー全面奪取の結果

[post-views]
2月 09, 2021 · 5 分で読めます
Oracle WebLogic Serverの脆弱性 (CVE-2021-2109) によるサーバー全面奪取の結果

Oracle Fusion Middleware Consoleにおける深刻なリモートコード実行問題は、Oracle WebLogic Serverの完全な乗っ取りを可能にします。

New Oracle WebLogic Serverの脆弱性

この欠陥により、高い権限を持つ認証されたアクターが「JndiBinding」ハンドラーを悪用し、JNDI(Java Naming and Direction Interface)インジェクションを開始できます。これにより、攻撃者の管理下にあるサーバーから悪意のあるクラスを取得して逆シリアル化し、Oracle WebLogic Server上で任意のコードを実行することが可能になります。

エクスプロイトの手順には認証が必要ですが、攻撃者は以前に発見されたWebLogic Serverにおけるリモートコード実行(CVE-2020-14882)に関連するディレクトリトラバーサル手法を利用してこの障害を克服する可能性があります。その結果、CVE-2021-2109は、未認証のハッカーによる単一のHTTPリクエストを介して容易に悪用される可能性があります。

この脆弱性はCVSS Version 3.1によるスコア7.2に割り当てられ、高い深刻度のバグとして位置づけられています。特に、Oracle WebLogic Serverにおけるセキュリティホールは、脅威アクターの注目をすぐに集めるため、CVE-2021-2109が野外で悪用される可能性が高まります。

この脆弱性は、Alibaba Cloud Securityリサーチグループによって2020年11月19日にOracleに報告され、 2021年1月20日にベンダーにより 修正されました。 概念実証のエクスプロイト(認証された攻撃者と未認証の攻撃者両方用)は 2021年1月に公開されました。

このバグは、以下のOracle WebLogic Serverのサポートされたバージョンに影響します:10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0。利用者は、可能な限り迅速にパッチを適用して、悪用の試みを防ぐことが推奨されます。

CVE-2021-2109 検出

新しいOracle WebLogic Serverのバグ(CVE-2021-2109)に関連する悪意のある活動を検出するために、SOC Prime Threat Bountyの開発者 Emir Erdogan

https://tdm.socprime.com/tdm/info/yY5BqZlgeBNl/JdjQcncBR-lx4sDxsiba/

このルールは、以下のプラットフォームに翻訳されています:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness, FireEye Helix, Humio, Graylog, LogPoint

EDR: Carbon Black

MITRE ATT&CK:

戦術: 初期アクセス

技術: 公開されたアプリケーションの悪用(T1190)

Threat Detection Marketplaceに無料でサインアップして、90,000以上の厳選されたSOCコンテンツライブラリにアクセスしましょう。70か国以上から300を超える貢献者が毎日ライブラリを豊かにし、セキュリティパフォーマーが攻撃ライフサイクルの初期段階で最も危険なサイバー脅威を検出できるようにしています。脅威ハンティング活動に参加し、独自の検出ルールを開発することに興味がありますか? for free to reach the 90,000+ curated SOC content library. Over 300 contributors from 70 countries enrich the library each day so that security performers might detect the most alarming cyber threats at the earliest stages of the attack lifecycle. Have a desire to participate in threat hunting activities and develop your own detection rules? Threat Bountyプログラムに参加し、貢献に対する報酬を得ましょう。 program and get rewarded for your input.

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Uncoder AIでのカスタムAIプロンプトがオンデマンド検出生成を実現 4 分で読めます SOCプライムプラットフォーム Uncoder AIでのカスタムAIプロンプトがオンデマンド検出生成を実現 by Steven Edwards XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで 6 分で読めます 最新の脅威 XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで by Veronika Telychko CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に 8 分で読めます 最新の脅威 CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に by Veronika Telychko
すべてのニュース