상세 컨텐츠

본문 제목

오라클, WebLogic 서버 웹 서비스의 치명적인 버그 수정

국내외 보안동향

by 알약(Alyac) 2019. 6. 20. 09:31

본문

Oracle Fixes Critical Bug in WebLogic Server Web Services


지난 화요일 오라클은 WebLogic 서버의 특정 버전에 영향을 미치는 원격 코드 실행 취약점을 수정하는 패치를 발표했습니다. 


이 버그는 이전 버그를 수정한 패치를 우회하며, 연구원들은 이 취약점이 실제 공격에 활발히 악용되고 있다고 밝혔습니다.


CVE-2019-2729로 등록된 이 문제는 오라클 WebLogic 서버 웹 서비스의 XMLDecoder에 존재하는 역직렬화 문제입니다. 


이는 Sodinokibi 랜섬웨어 및 가상 화폐 마이너를 확산시키는 공격에 악용된, 지난 4월 패치된 CVE-2019-2725 취약점과 연관됩니다. 



이 취약점의 익스플로잇은 최근 발견된 Echobot 봇넷에도 포함되었습니다.


오래된 문제 재점화시켜


오라클은 CVE-2019-2729 취약점은 심각도 10점 만점에 9.8점을 기록했으며 계정 및 패스워드 없이도 네트워크를 통해 악용될 가능성이 있습니다. 


이 취약점에 영향을 받는 WebLogic 버전은 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0입니다.


지난 토요일, knownSec의 404 팀의 멤버는 이미 수정된 오라클 WebLogic 역직렬화 취약점에 대한 패치를 우회할 수 있는 방법이 있다고 경고했습니다. 


당시 연구원들은 이 취약점이 새로운 오라클 WebLogic 역직렬화 RCE 제로데이 취약점이며 실제 공격에서 활발히 악용되고 있다고 밝혔습니다.


연구원들은 발견된 CVE-2019-2729 취약점이 심각도 점수 9.8을 기록한 CVE-2019-2725에 대한 우회로 결론지었습니다.


연구원들은 이를 분석하여 CVE-2019–2725의 패치를 우회하는 제로데이 취약점을 재현할 수 있었습니다.


임시 해결책


이 역직렬화 이슈는 오라클 WebLogic의 "wls9_async"와 "wls-wsat" 컴포넌트로 인해 발생합니다.


당장 패치를 할 수 없는 상황이라면, 아래와 같은 완화법을 시도해볼 수 있습니다.


1. "wls9_async_response.war", "wls-wsat.war"를 삭제하고 WebLogic 서비스 재시작

2. "/_async/*", "/wls-wsat/*로 연결되는 URL에 대한 접근을 제어하는 정책 시행


이 역직렬화 취약점은 모두 제로데이 취약점이며, 오라클은 이 취약점을 수정하기 위해 응급 패치를 발행했습니다. 


이들은 모두 동일한 방식으로 동작하며 악용될 경우 동일한 원격 코드 실행 효과를 낼 수 있습니다. 


차이점은 첫 번째 취약점은 WebLogic 서버의 모든 버전에 영향을 미치고 두 번째 취약점은 특정 버전에만 영향을 미친다는 것입니다.


ZoomEye 검색 엔진의 결과에 따르면, 2019년 배치된 오라클의 WebLogic 서버는 약 42,000대입니다. 


Shodan 검색 결과 2,300대가 조금 넘는 서버들이 온라인 상태임을 확인할 수 있었습니다. 이 서버들은 대부분 미국과 중국에 위치하고 있었습니다.



출처:

https://www.bleepingcomputer.com/news/security/oracle-fixes-critical-bug-in-weblogic-server-web-services/

https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html

관련글 더보기

댓글 영역