10月20日(米国時間)、複数のOracle製品にリモートコード実行が可能となる脆弱性が存在する事をCERT/CCが公開を行いました。
本脆弱性公開直後は、以下の方法にて暫定対処を行うようにアナウンスが行われておりました。
- 外部からの管理コンソールへのアクセスをブロック
- 開発モード(Development Mode)を使用している場合、本番モード(Production Mode)への変更
10月20日(米国時間)、正式パッチの配布が行われたため、現在は正式パッチ適用が推奨されております。
https://www.oracle.com/security-alerts/cpuoct2020.html
もし、すぐに正式パッチ適用が行えない場合、TippingPoint にて一時対策(仮想パッチ)を行う事が可能です。
10月31日(日本時間)、緊急配信として DV #9471 にて今回の脆弱性対策用の Filter がリリースされました。
- 38380: HTTP: Oracle WebLogic Server Remote Code Execution Vulnerability
- デフォルト設定:Disable
本 Filter は、TippingPoint をお使いの上、DV #9471 に定義ファイルの更新が完了している環境であれば、有効状態に変更を行うことによりご利用頂く事が可能です。
SMS をご利用の場合の利用方法は以下となります。
- SMS Client にて SMS にログイン
- 画面上部メニュー「Profiles」をクリック
- 画面左部メニュー「Profiles」⇒「Inspection Profiles」⇒「(現在使用しているProfile)」⇒「Search」をクリック
- 画面右部「Filter Name」に「38380」と入力を行い、右側「Search」をクリック
- 画面下部「Search Results」に表示された Filter をクリック後、右下「Edit」をクリック
- 新しいウィンドウ「Action」内の「Use Filter Specific Settings」を選択
- 「State」の「Enabled」にチェックを入れる
- 「Action Set」で任意の動作※を選択後、右下「OK」をクリック
- Block + Notify:該当通信遮断 + 検知通知
- Permit + Notify:該当通信通過 + 検知通知
- Block:該当通信遮断
- Permit:該当通信通過
- 画面左部メニュー「Profiles」⇒「Inspection Profiles」⇒「(現在使用しているProfile)」をクリック
- 画面右部「Distribute」をクリックし、適用を行いたいセグメントを選択し、「OK」をクリック
- 新しいウィンドウにて、100%(Complete)になれば適用完了
※Filter 設定変更による業務通信影響を気にされる場合は、最初は「Permit + Notify」にて設定を行い、業務通信に影響が無い事が確認出来た後、「Block + Notify」に変更を行うことをおすすめいたします。
最後になりますが、外部からの管理コンソールへのアクセスが可能な設定で開発モード(Development Mode)を使用されていますと、攻撃を受ける可能性がございますので、今一度動作モードのご確認をおすすめいたします。