Oracle Fixes Critical Bug in WebLogic Server Web Services
지난 화요일 오라클은 WebLogic 서버의 특정 버전에 영향을 미치는 원격 코드 실행 취약점을 수정하는 패치를 발표했습니다.
이 버그는 이전 버그를 수정한 패치를 우회하며, 연구원들은 이 취약점이 실제 공격에 활발히 악용되고 있다고 밝혔습니다.
CVE-2019-2729로 등록된 이 문제는 오라클 WebLogic 서버 웹 서비스의 XMLDecoder에 존재하는 역직렬화 문제입니다.
이는 Sodinokibi 랜섬웨어 및 가상 화폐 마이너를 확산시키는 공격에 악용된, 지난 4월 패치된 CVE-2019-2725 취약점과 연관됩니다.
이 취약점의 익스플로잇은 최근 발견된 Echobot 봇넷에도 포함되었습니다.
오래된 문제 재점화시켜
오라클은 CVE-2019-2729 취약점은 심각도 10점 만점에 9.8점을 기록했으며 계정 및 패스워드 없이도 네트워크를 통해 악용될 가능성이 있습니다.
이 취약점에 영향을 받는 WebLogic 버전은 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0입니다.
지난 토요일, knownSec의 404 팀의 멤버는 이미 수정된 오라클 WebLogic 역직렬화 취약점에 대한 패치를 우회할 수 있는 방법이 있다고 경고했습니다.
당시 연구원들은 이 취약점이 새로운 오라클 WebLogic 역직렬화 RCE 제로데이 취약점이며 실제 공격에서 활발히 악용되고 있다고 밝혔습니다.
연구원들은 발견된 CVE-2019-2729 취약점이 심각도 점수 9.8을 기록한 CVE-2019-2725에 대한 우회로 결론지었습니다.
연구원들은 이를 분석하여 CVE-2019–2725의 패치를 우회하는 제로데이 취약점을 재현할 수 있었습니다.
임시 해결책
이 역직렬화 이슈는 오라클 WebLogic의 "wls9_async"와 "wls-wsat" 컴포넌트로 인해 발생합니다.
당장 패치를 할 수 없는 상황이라면, 아래와 같은 완화법을 시도해볼 수 있습니다.
1. "wls9_async_response.war", "wls-wsat.war"를 삭제하고 WebLogic 서비스 재시작
2. "/_async/*", "/wls-wsat/*로 연결되는 URL에 대한 접근을 제어하는 정책 시행
이 역직렬화 취약점은 모두 제로데이 취약점이며, 오라클은 이 취약점을 수정하기 위해 응급 패치를 발행했습니다.
이들은 모두 동일한 방식으로 동작하며 악용될 경우 동일한 원격 코드 실행 효과를 낼 수 있습니다.
차이점은 첫 번째 취약점은 WebLogic 서버의 모든 버전에 영향을 미치고 두 번째 취약점은 특정 버전에만 영향을 미친다는 것입니다.
ZoomEye 검색 엔진의 결과에 따르면, 2019년 배치된 오라클의 WebLogic 서버는 약 42,000대입니다.
Shodan 검색 결과 2,300대가 조금 넘는 서버들이 온라인 상태임을 확인할 수 있었습니다. 이 서버들은 대부분 미국과 중국에 위치하고 있었습니다.
출처:
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html
안드로이드용 아웃룩 앱에서 XSS 공격 가능한 취약점 발견! (0) | 2019.06.22 |
---|---|
Active Directory 컴포넌트를 충돌시킬 수 있는 Samba 취약점 발견 (0) | 2019.06.21 |
Linux 및 FreeBSD에 영향을 주는 취약점 다수 발견 (0) | 2019.06.19 |
갠드크랩(GandCrab) 랜섬웨어용 무료 복호화 툴 공개돼 (0) | 2019.06.18 |
AESDDoS 봇넷 구축을 위해 Docker API 악용돼 (0) | 2019.06.17 |
댓글 영역