Trusted Design

CVE-2019-2725 の詳細

CVEの情報

説明:
Vulnerability in the Oracle WebLogic Server component of Oracle Fusion Middleware (subcomponent: Web Services). Supported versions that are affected are 10.3.6.0.0 and 12.1.3.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle WebLogic Server. Successful attacks of this vulnerability can result in takeover of Oracle WebLogic Server. CVSS 3.0 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

CVE更新日: 2019-04-26 19:29:00.463000

CVSSバージョン: 3.1

CVSSスコア: 9.8

KEVの情報

KEV更新日: 2022-01-10

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.944680000

EPSS更新日: 2026-04-16 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2019-2725について、以下の観点で解説します。

1. 脆弱性の概要

CVE-2019-2725は、Oracle WebLogic Serverのコンポーネントにおけるリモートからのコード実行(RCE)の脆弱性です。この脆弱性は、wls9_asyncおよびwls-wsatコンポーネントが、安全でないデシリアライゼーションの処理を行うことに起因します。認証を必要とせず、遠隔の攻撃者が細工されたHTTPリクエストを送信することで、任意のコードを実行する可能性があります。

本脆弱性は、Oracleが公開する前の2019年4月17日に中国の脆弱性情報データベースCNVDにCNVD-C-2019-48814として登録され、その後、PoC(概念実証コード)が公開されたため、ゼロデイ脆弱性として容易に悪用される状態にありました。

1.1 影響

この脆弱性が悪用されると、攻撃者はOracle WebLogic Serverが動作しているユーザーの権限で、対象サーバー上で任意のOSコマンドを実行できるようになります。これにより、サーバーが完全に制御され、機密情報の漏洩、データの改ざん、サービスの停止など、深刻な被害が発生する可能性があります。実際に、この脆弱性はランサムウェアキャンペーンの一部として悪用された事例も報告されています。

1.2 深刻度

Oracleはこの脆弱性に対して、CVSSv3スコアで9.8(緊急)と評価しています。

CVSSv3評価基準: * 攻撃元区分 (AV:N): ネットワーク経由で攻撃が可能。 * 攻撃複雑度 (AC:L): 攻撃の複雑度が低い。 * 必要な特権 (PR:N): 認証が不要。 * ユーザー関与 (UI:N): ユーザーの操作は不要。 * スコープ (S:U): スコープが変更されない。 * 機密性への影響 (C:H): 機密性が完全に漏洩する可能性がある。 * 完全性への影響 (I:H): 完全性が完全に侵害される可能性がある。 * 可用性への影響 (A:H): 可用性が完全に侵害される可能性がある。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性の影響を受けるOracle WebLogic Serverのバージョンは以下の通りです。

  • Oracle WebLogic Server 10.3.6.0.0
  • Oracle WebLogic Server 12.1.3.0.0

上記のバージョン以外でも、該当するコンポーネントが有効になっている場合に影響を受ける可能性があります。詳細については、ベンダーに確認が必要です。また、低バージョンのJDK環境では、CVE-2019-2725の修正パッチが回避される可能性が指摘されています。

2.2 影響を受ける設定

本脆弱性は、Oracle WebLogic Serverにデフォルトで実装されている以下のコンポーネントが影響を受けます。

  • wls9_asyncコンポーネント (wls9_async_response.war)
  • wls-wsatコンポーネント (wls-wsat.war)

具体的には、これらのコンポーネントにおける不正なSOAPメッセージを含む細工されたHTTPリクエストのデシリアライズ処理に不備があることが原因です。

3. 影響を受けた時の兆候

  • スキャン活動の増加: Oracle WebLogic Serverが初期設定でListenするポート(TCP 7001番)を対象としたスキャン通信の増加が観測されることがあります。
  • 不正なHTTPリクエスト: サーバーログに、/_async/*/wls-wsat/*パスへの不正なHTTP POSTリクエストや、悪意のあるSOAPメッセージを含む通信が記録される。
  • 任意のファイル生成: 攻撃者がコマンド実行の結果をファイルとして出力した場合、サーバー上に意図しないファイル(例: /wls9_asyncコンポーネントで使用されるディレクトリ配下にfavicon.icoとして/etc/passwdの実行結果など)が生成されていることがあります。
  • 予期しないプロセス: WebLogic Serverを動作させているユーザーの権限で、身に覚えのないOSコマンドやプロセスが実行されている。

4. 推奨対策

4.1 本対策

  • 修正プログラムの適用: Oracle社から提供されている公式の修正プログラム(パッチ)を速やかに適用してください。各バージョンの対応状況は、Oracleのセキュリティアドバイザリの「Patch Availability Document」で確認できます。パッチ適用前には、他のアプリケーションへの影響を考慮し、十分なテストを行うことが推奨されます。

4.2 暫定回避策(緩和策)

公式パッチの適用が困難な場合、以下の暫定的な回避策を検討してください。

  • 影響を受けるコンポーネントの削除: wls9_async_response.warおよびwls-wsat.warファイルを削除し、WebLogicサービスを再起動する。
  • URLアクセスの制限: WebLogic Serverへのアクセス制御を設定し、/_async/*および/wls-wsat/*に対するURLアクセスを制限する。
  • WAFの導入・活用: Web Application Firewall (WAF) を導入し、本脆弱性を狙った攻撃トラフィックを検知・遮断する。
  • JDKバージョンの確認: WebLogicをJava 1.7以上のバージョンで実行する。一部のパッチ回避手法は、低バージョンのJDK環境で利用されることが報告されています。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る