米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、2年前にパッチが提供されたにもかかわらず現在も攻撃に悪用され続けているOracle WebLogic Serverの高深刻度脆弱性に対し、政府機関にシステムの保護を命じました。
Oracle WebLogic Serverは、大規模なマルチティア分散アプリケーション向けミドルウェアとして広く利用されているエンタープライズグレードのJavaアプリケーションサーバーです。
CVE-2024-21182として追跡されているこの脆弱性は、Oracle WebLogic Serverのバージョン12.2.1.4.0および14.1.1.0.0を実行するシステムを対象とした低複雑性の攻撃において、権限を持たない脅威アクターがリモートから悪用できるものです。
Oracleは、CVE-2024-21182のセキュリティパッチを2024年7月にリリースした際、「T3またはIIOPプロトコル経由でネットワークにアクセスできる未認証の攻撃者が、Oracle WebLogic Serverを容易に侵害できる脆弱性です」と説明しています。
「この脆弱性を悪用した攻撃が成功した場合、重要データへの不正アクセス、またはOracle WebLogic Serverがアクセス可能なすべてのデータへの完全な取得が可能になります。」
インターネットインテリジェンスプラットフォームのShodanは現在、CVE-2024-21182の悪用に対して脆弱なOracle WebLogicサーバーをオンライン上で1,592台以上追跡しています(バージョン12.2.1.4.0が961台、バージョン14.1.1.0.0が631台)。
CISAは木曜日に、この脆弱性を攻撃で悪用された既知脆弱性カタログに追加するとともに、拘束的運用指令(BOD)22-01に基づき、連邦機関に対して6月4日木曜日深夜までにWebLogicサーバーへのパッチ適用を命じました。
BOD 22-01は連邦機関にのみ適用されますが、CISAは民間部門を含むすべてのネットワーク防御者に対しても、進行中のCVE-2024-21182攻撃に備えて、できる限り早急にパッチを適用するよう促しています。
「このタイプの脆弱性は、悪意あるサイバーアクターにとって常套的な攻撃経路であり、連邦政府のエンタープライズ環境に重大なリスクをもたらします」とCISAは警告しています。「ベンダーの指示に従って緩和策を実施し、クラウドサービスについては適用可能なBOD 22-01のガイダンスに従ってください。緩和策が利用できない場合は、製品の使用を中止してください。」
10月には同機関が、Oracle E-Business Suiteにおける未認証のサーバーサイドリクエストフォージェリ(SSRF)脆弱性(CVE-2025-61884)が実際に悪用されていることを確認した後、政府機関にパッチ適用を命じました。
さらに最近では、3月にOracleがIdentity ManagerおよびWeb Services Managerにおける重大な未認証リモートコード実行脆弱性(CVE-2026-21992)を修正する帯域外セキュリティアップデートを緊急リリースしましたが、BleepingComputerが悪用状況について問い合わせた際にはコメントを拒否しました。
過去数年間で、CISAはOracleの各種製品にわたる43件の脆弱性を実際に悪用されているものとして指摘しており、そのうち12件はランサムウェア攻撃で悪用されています。
検証のギャップ:自動ペネトレーションテストが答えるのは1つの問い。本当に必要なのは6つ。
自動ペネトレーションテストツールは確かな価値を提供しますが、これらはあくまで「攻撃者はネットワーク内を移動できるか?」という1つの問いに答えるために設計されたものです。コントロールが脅威をブロックできるか、検出ルールが正しく機能するか、クラウド設定が堅牢であるかを検証するためのツールではありません。
このガイドでは、実際に検証すべき6つの領域を解説しています。
