포스팅 내용

국내외 보안동향

오라클, WebLogic 서버 웹 서비스의 치명적인 버그 수정

Oracle Fixes Critical Bug in WebLogic Server Web Services


지난 화요일 오라클은 WebLogic 서버의 특정 버전에 영향을 미치는 원격 코드 실행 취약점을 수정하는 패치를 발표했습니다. 


이 버그는 이전 버그를 수정한 패치를 우회하며, 연구원들은 이 취약점이 실제 공격에 활발히 악용되고 있다고 밝혔습니다.


CVE-2019-2729로 등록된 이 문제는 오라클 WebLogic 서버 웹 서비스의 XMLDecoder에 존재하는 역직렬화 문제입니다. 


이는 Sodinokibi 랜섬웨어 및 가상 화폐 마이너를 확산시키는 공격에 악용된, 지난 4월 패치된 CVE-2019-2725 취약점과 연관됩니다. 



이 취약점의 익스플로잇은 최근 발견된 Echobot 봇넷에도 포함되었습니다.


오래된 문제 재점화시켜


오라클은 CVE-2019-2729 취약점은 심각도 10점 만점에 9.8점을 기록했으며 계정 및 패스워드 없이도 네트워크를 통해 악용될 가능성이 있습니다. 


이 취약점에 영향을 받는 WebLogic 버전은 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0입니다.


지난 토요일, knownSec의 404 팀의 멤버는 이미 수정된 오라클 WebLogic 역직렬화 취약점에 대한 패치를 우회할 수 있는 방법이 있다고 경고했습니다. 


당시 연구원들은 이 취약점이 새로운 오라클 WebLogic 역직렬화 RCE 제로데이 취약점이며 실제 공격에서 활발히 악용되고 있다고 밝혔습니다.


연구원들은 발견된 CVE-2019-2729 취약점이 심각도 점수 9.8을 기록한 CVE-2019-2725에 대한 우회로 결론지었습니다.


연구원들은 이를 분석하여 CVE-2019–2725의 패치를 우회하는 제로데이 취약점을 재현할 수 있었습니다.


임시 해결책


이 역직렬화 이슈는 오라클 WebLogic의 "wls9_async"와 "wls-wsat" 컴포넌트로 인해 발생합니다.


당장 패치를 할 수 없는 상황이라면, 아래와 같은 완화법을 시도해볼 수 있습니다.


1. "wls9_async_response.war", "wls-wsat.war"를 삭제하고 WebLogic 서비스 재시작

2. "/_async/*", "/wls-wsat/*로 연결되는 URL에 대한 접근을 제어하는 정책 시행


이 역직렬화 취약점은 모두 제로데이 취약점이며, 오라클은 이 취약점을 수정하기 위해 응급 패치를 발행했습니다. 


이들은 모두 동일한 방식으로 동작하며 악용될 경우 동일한 원격 코드 실행 효과를 낼 수 있습니다. 


차이점은 첫 번째 취약점은 WebLogic 서버의 모든 버전에 영향을 미치고 두 번째 취약점은 특정 버전에만 영향을 미친다는 것입니다.


ZoomEye 검색 엔진의 결과에 따르면, 2019년 배치된 오라클의 WebLogic 서버는 약 42,000대입니다. 


Shodan 검색 결과 2,300대가 조금 넘는 서버들이 온라인 상태임을 확인할 수 있었습니다. 이 서버들은 대부분 미국과 중국에 위치하고 있었습니다.



출처:

https://www.bleepingcomputer.com/news/security/oracle-fixes-critical-bug-in-weblogic-server-web-services/

https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html

  1. 동동s2 2019.06.24 12:26 신고  수정/삭제  댓글쓰기

    안녕하세요.
    관련 업무 종사자이며, 해당 게시물 궁금한 점이 있어 댓글 남깁니다.

    오라클에서는 웹서비스 관련 취약점 패치(2725및 2729 포함) 하여,
    W/A가 없다고 이야기를 하고 있습니다. (url 차단 또는 라이브러리 제거)

    혹시 위 본문에 나타난 임시 해결책은 어떤 경로로 입수하였는지
    알 수 있을까요?

    매번 운영서버를 패치 할 수도 없고.. W/A가 공신력 있는 기관에서
    나온 내용이라면 패치 말고 W/A를 적용하려 합니다..

    • 알약(Alyac) 2019.06.25 11:10 신고  수정/삭제

      안녕하세요? 해당 해결방법의 출처는 다음과 같습니다.
      https://medium.com/@knownsec404team/knownsec-404-team-alert-again-cve-2019-2725-patch-bypassed-32a6a7b7ca15

      중국 Knownsec의 404 Team이 만든거라고 합니다. 도움이 되셨으면 좋겠습니다.

티스토리 방명록 작성
name password homepage