米CISAの既知の悪用脆弱性カタログへの掲載は、管理者に対する今すぐのパッチ適用を促す警告です。
米連邦政府機関は、認証なしに重要データへのアクセスを可能にする恐れのあるOracle WebLogic Serverの高深刻度脆弱性について、木曜日までにパッチを適用するよう求められています。この脆弱性は2年前に発見されたものです。
当該脆弱性CVE-2024-21182は月曜日、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の既知の悪用脆弱性(KEV)カタログに追加され、連邦政府のOracle管理者にはわずか4日間での対応が求められています。
影響を受けるサポート対象バージョンは12.2.1.4.0および14.1.1.0.0です。
KEVは米連邦省庁を主な対象としていますが、リストへの掲載は民間企業にとっても警告として受け止めるべきです。
この脆弱性は発見当時、CVSSスコアで7.3と評価されており、多くのセキュリティ専門家が即時対応の必要性を示す指標とする9以上には遠く及びませんでした。
しかし、Enderle Groupを率いるコンサルタントのRobert Enderle氏は、この脆弱性が今になってKEVに追加されたことは、CISAが脅威アクターによる積極的な武器化を最近確認したことを意味すると述べています。
「CISAのKEVへの掲載は、積極的な悪用が確認されていることを意味します」と、FortraのセキュリティR&Dアソシエイトディレクターを務めるTyler Reguly氏も同意しています。「このCVEは2024年7月のOracle Critical Patch Update(CPU)でパッチが提供されているため、ほとんどの管理者はすでに対応済みと考えていました。特にWebLogicの脆弱性は注目度が高く、このCVEが追加される前から、すでに十数件のWebLogic脆弱性がKEVカタログに掲載されていたのですから。」
悪用が続く古い脆弱性
Reguly氏はKEVへの脆弱性追加スピードについても見解を示しています。簡単な調査によると、リスト内のCVEのうちリリースと同年に追加されたのは約41%にとどまります。リリース翌年まで含めると約58%に上りますが、それでも驚くべきことに、CISAのKEVカタログに追加されるCVEの40%以上は、リリースから2年以上が経過してから追加されていることになります。「複数年にわたってシステムにパッチを当てていない組織は、定期的にパッチを適用している組織よりも攻撃者にとって格好の標的であることを考えれば、[この2年前のOracleの穴が]今頃になって浮上しているのも理解できます。定期的なパッチ適用は、セキュリティ意識の高い環境を示すものでもありますから。」
この脆弱性が発見から2年後に追加された理由についてコメントを求めたところ、CISAのスポークスパーソンは、カタログへの登録基準を説明する省庁のウェブページを案内しました。そこには、リストが実際に野外で悪用された脆弱性を対象としていると記されています。スポークスパーソンは、これほどの期間を経てなお連邦サーバーにパッチが当たっていない件数についての質問には回答しませんでした。
Oracle WebLogic Serverは、オンプレミスとクラウドの両方で、Javaによるエンタープライズアプリケーションの開発・デプロイ・実行を行うための統合的かつ拡張可能なプラットフォームです。Kubernetesに完全対応しており、包括的なJavaサービスを活用してモダンなコンテナアプリを効率よく構築・移行することが可能です。つまり、機密性の高い企業データを管理する重要なミドルウェアです。
こうした種類の脆弱性を脅威アクターが積極的に悪用しようとするのは当然のことです。2019年には、脅威アクターがOracleによって前年に修正されたプロテクション回避の新手法に対して脆弱なWebLogicサーバーをスキャンしていたと報告されました。
今年初め、セキュリティ企業のCloudSekは、CVSSスコア10という最高レベルの深刻度を持つWebLogic Serverのリモートコード実行脆弱性CVE-2026-21962に対する脅威アクターの反応と、古い脆弱性への関心を調査するため、ハニーポットを設置して調査しました。12日間にわたる観測期間中、エクスプロイトコードの公開直後から新たなゼロデイに類する脆弱性を標的とした攻撃試行が確認され、「重大なOracle WebLogic脆弱性の急速な武器化」が実証されています。
攻撃者はさらに、CloudSekが作成したパッチ未適用のハニーポットサーバーにおいて、2017年に報告された脆弱性と2020年の2件の脆弱性の悪用も試みていました。
「明確なリスク」となるパッチ適用の遅延
大企業にとってのOracleプロダクトの重要性を踏まえ、同社は最近、セキュリティパッチのリリースサイクルを四半期ごとから月次に変更しました。この新サイクルの最初のパッチは月曜日にリリースされています。
WebLogic脆弱性の今回のKEVへの追加は、多くの組織がセキュリティを扱う際の共通の問題を浮き彫りにしていると、Action1のフィールドCTOを務めるGene Moody氏は述べています。「問題は脆弱性そのものだけではありません。より大きな問題は、修正プログラムがリリースされてから実際のシステムに適用されるまでの遅延です。この遅延は攻撃者に行動する機会を与えると同時に、標的組織のセキュリティ対策が不十分である可能性を示しています。」
組織がパッチを適用するまでには平均約60日かかると同氏は指摘します。一方、攻撃者はわずか数時間から数日でエクスプロイトを構築して使用しています。このギャップが、パッチ未適用のシステムが格好の標的となる都合のよい窓口を生み出しています。さらに、1年以上前の脆弱性を抱えたシステムは、適切に管理された脆弱性管理計画における例外的な存在ではない可能性が高いと同氏は指摘します。
「攻撃者はパッチの適用スピードに細心の注意を払っています」と同氏は述べます。「よく知られた修正プログラムが広く適用されていない場合、それは単なる露出以上のことを示しています。システムの追跡不足、脆弱なパッチプロセス、あるいはセキュリティへの注意を妨げる他の優先事項の存在を示している可能性があります。こうした問題はしばしば、一つの脆弱性を超えた多くの弱点の存在を意味します。」
Moody氏は、組織はパッチ適用の遅延を単なる未完了タスクとしてではなく、明確なリスクとして捉えるべきだと警告しています。状況を改善するためには、システムの追跡強化、明確なパッチ適用スケジュールの設定、そして修正プログラムが計画だけでなく実際に適用されていることの確認が必要です。
