오라클 WebLogic에서 제로데이 취약점 발견

Zero-day vulnerability in Oracle WebLogic

보안 전문가들이 오라클의 WebLogic 서비스 플랫폼에 영향을 끼치는 제로데이 원격 코드 실행(RCE) 취약점에 대해 경고했습니다.

<이미지 출처: https://twitter.com/waratek/status/1121106584174768130>

오라클 WebLogic wls9_async 및 wls-wsat 컴포넌트가 역직렬화(Deserialization) 원격 명령 실행 제로데이 취약점에 영향을 받는 것으로 나타났습니다.

이 제로데이 취약점은 wls9_async_response.war 및 wls-wsat.war 컴포넌트가 활성화된 최신 버전을 포함한 모든 WebLogic 버전에 영향을 미칩니다.

오라클 WebLogic 서버는 오라클이 개발한 Java EE 어플리케이션 서버로, 자바 기술을 기반으로 하는 수많은 어플리케이션 및 기업 웹 포털에서 사용됩니다. 

이 취약점은 CNVD-C-2019-48814(China National Vulnerability Database)로 등록되었습니다.

공격자가 이 취약점을 악용하면 특수하게 제작된 HTTP 요청을 보내, 인증 없이 원격으로 명령을 실행할 수 있습니다.

<이미지 출처: https://medium.com/@knownseczoomeye/knownsec-404-team-oracle-weblogic-deserialization-rce-vulnerability-0day-alert-90dd9a79ae93>

CNCERT/CC에서 발표한 CNTA-2019-0015에 따르면, 이 결함은 WebLogic 10.x 및 WebLogic 12.1.3 버전에 존재합니다. 

오라클은 아직까지 이 치명적인 결함을 해결하지 않은 상태입니다.

전문가들은 취약한 모듈인 wls9_async_response.war 및 wls-wsat.war를 비활성화하거나 오라클 WebLogic에서 / _async / * 및 / wls-wsat / * URL에 대한 접근을 금지할 것을 권고했습니다.

KnownSec 404 팀은 ZoomEye 검색 엔진을 통해 온라인에서 취약한 인스턴스를 검색한 결과 36,173건을 발견했으며, 이들 대부분은 미국과 중국에 있었습니다.

<이미지 출처: https://medium.com/@knownseczoomeye/knownsec-404-team-oracle-weblogic-deserialization-rce-vulnerability-0day-alert-90dd9a79ae93>

F5의 연구원들은 이미 WebLogic 서버에 존재하는 해당 제로데이 취약점을 악용한 캠페인을 발견했다고 발표했습니다.

<이미지 출처: https://twitter.com/F5Labs/status/1120822404568244224/>

출처:

https://securityaffairs.co/wordpress/84450/breaking-news/oracle-weblogic-zeroday.html

https://www.waratek.com/new-weblogic-zero-day-rce-vulnerability/

https://www.seebug.org/vuldb/ssvid-97920

https://medium.com/@knownseczoomeye/knownsec-404-team-oracle-weblogic-deserialization-rce-vulnerability-0day-alert-90dd9a79ae93

http://www.cnvd.org.cn/webinfo/show/4989