www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

ハニーポット観察記録(46)「WebLogic Server の CVE-2018-2894 の脆弱性に対する攻撃」

どうも。ハニーポッターの森久です。
台風が近づいてきているので部屋にこもっています。

さて、2018年7月の Oracle パッチ情報で WebLogic Server の脆弱性がいくつか修正されました。
その中でも CVE-2018-2893 と CVE-2018-2894 の2つで、リモートから攻撃可能な攻撃ツールが公開されています。
CVE-2018-2893 は T3 プロトコルを利用した攻撃です。一方、CVE-2018-2894 は HTTP を利用した攻撃です。
私が作成した Web ハニーポットの WOWHoneypot では、T3 プロトコルに対応していないので、CVE-2018-2893 は検知することができません。そこで今回は CVE-2018-2894 の検知状況をまとめました。

CVE-2018-2894 について、簡単に説明すると、本来アクセス認証がかかっているページへ、認証なしでアクセス可能なため、WebLogic Server をリモートから操作可能な脆弱性です。
それではハニーポットにおける検知状況を紹介します。

 

検知した攻撃事例紹介

攻撃サンプル1

※一部の情報を意図的に伏せています。

攻撃対象のパスが「/ws_utc/」から始まっています。これは今回の脆弱性の特徴の1つで、このパス以下は、本来認証がかかっているべきページです。

試しに、検証環境の WebLogic Server (Version 12.2.1.2.0)でアクセスしてみました。

確かに認証なしでアクセスができて、XML 形式のデータが取得できました。
攻撃サンプル1は GET メソッドによるアクセスでした。そのため攻撃者は、接続先で WebLogic Server が稼働しているかどうかと、稼働しているのであれば脆弱な環境かどうかを調査しているのでしょう。

もう1つ攻撃事例を紹介します。

 

攻撃サンプル2

※一部の情報を意図的に伏せています。

攻撃サンプル2は POST メソッドから始まっており、またボディ部分を見ると WebShell と考えられる不審なデータを送信しています。

Content-Length ヘッダで確認できるとおり、データサイズが大きいため途中から省略しました。VirusTotal で調査しても、不審なファイルとは判定されませんでした。

VirusTotal でマルウェア判定されなかったとはいえ、このファイルが何者か知りたくなるのがハニーポッターです。
cat.jsp というファイル名で WebShell を保存し、検証環境の Tomcat に設置してみました。まずは直接ブラウザでファイルへアクセスしてみます。


cat.jsp が配置されているディレクトリに存在するファイル一覧が表示されました。
ファイル名をクリックするとファイルを編集することができます。また「下载」のリンクをクリックすると、ファイルをダウンロードすることが可能です。
その他にブラウザから操作できそうには見えません。しかし WebShell のソースコードを見ると、他にも機能が実装されています。


ふむ。action パラメータで指定する文字列によって、分岐されるようです。試しに exec を指定してみます。また cmd パラメータに OS コマンドを指定する必要があるみたいですね。今回はnetstat を指定して、ブラウザでアクセスしてみます。


見事に netstat コマンドの実行結果が表示されました。

もう1つ、action パラメータに cat を指定してみましょう。これは path パラメータにファイルパスを指定すると、直接そのファイルを参照できるようです。今回は /etc/passwd ファイルを指定して、ブラウザでアクセスしてみます。


/etc/passwd ファイルが閲覧できました。ただし、WebShell が実行されるサービスの権限(ここでは Tomcat)の範囲内でしか閲覧できません。そのため /etc/shadow のような閲覧権限を持っていないファイルは参照できませんでした。

このようにファイルの操作だけでなく、OS コマンド実行やファイルの閲覧だけでなく、複数の機能が実装された高機能な WebShell であることがわかります。

 

検知状況

攻撃サンプルに示したような通信は、攻撃ツールが公開された後からハニーポットで確認しています。2018年7月21日から28日13時までの期間における ws_utc に対する検知状況をグラフにまとめました。


21日に1件検知したのち、件数は多くありませんでした。しかしながら27日から急増しています。今後も攻撃が継続したり大規模化する可能性があるため、注意が必要です。
攻撃サンプルで示したような通信は7月21日から検知しています。しかし、今回の脆弱性が ws_utc のパスにおける認証回避にあるため、攻撃ツールだけに注目するのはよくありません。
手元のハニーポットのログから ws_utc をパスに含むアクセスを調査しました。その結果、2017年11月10日にログが残っていました。次にそのときのログを示します。

※一部の情報を意図的に伏せています。

このログでは、まさに ws_utc のパスだけにアクセスしています。何らかのファイルをアップロードするような攻撃の形跡はありませんでした。もしかすると意図的に攻撃通信っぽさを無くして、WebLogic Server の稼働状況を調査することだけが目的だったのかもしれません。

 

まとめ

今回は WebLogic Server の CVE-2018-2894 の脆弱性に関する攻撃サンプルの紹介と、アップロードされる WebShell の調査、ハニーポットにおける ws_utc の検知状況を紹介しました。

すでに攻撃が観測されているため、WebLogic Server を使用している方は早急にアップデートしてください。また不審なファイルが作成されていないかどうか確認いただくことを推奨します。

 

参考情報

Oracle Critical Patch Update Advisory – July 2018
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

2018年7月の定期パッチで修正されたOracle WebLogic Server の脆弱性(CVE-2018-2894)について
https://blue-blue.hatenablog.com/entry/2018/07/23/024617

Weblogicの任意のコード実行(CVE-2018-2894)
https://qiita.com/oraizonja/items/c26dc25dddfb345440fb

 

おまけ

WebShell のファイル編集機能を使ったときに、脆弱性がありそうだったのでいろいろ試していたら、XSS 成功しました。


(WebShell の脆弱性って、どこに届け出たらいいんだろう・・・)

 

Written by 森久

7月 28th, 2018 at 5:26 pm