IBM WebSphere 원격 코드 실행 취약점 2개 패치돼

Two Critical Remote Code Execution flaws fixed in IBM WebSphere

지난 4월, 온라인 예명 ‘tint0’을 사용하는 보안 연구원이 IBM WebSphere Application Server에 영향을 미치는 심각한 역직렬화 문제 3개를 발견했습니다.

이 취약점 중 2개는 (CVE-2020-4450, CVE-2020-4448) 원격 코드 실행 이슈로 치명적으로 분류되었으며, 나머지 하나는 정보 공개 취약점으로 심각도 ‘높음’으로 분류되었습니다.

IBM WebSpere는 Java 기반 웹 애플리케이션을 호스팅하는 소프트웨어 프레임워크이자 미들웨어입니다.

이 연구원은 4월 중순에 Trend Micro의 Zero Day Initiative(ZDI)를 통해 IBM에 문제를 제보했으며 IBM은 지난주 이를 공개했습니다.

CVE-2020-4450 및 CVE-2020-4448 모두 CVSS 점수 9.8을 기록했으며, 사용자 제공 데이터를 적절히 검증하지 않았기 때문에 발생합니다. 따라서 신뢰할 수 없는 데이터의 역직렬화로 이어질 수 있습니다.

이 취약점은 원격 공격자가 설치된 취약한 IBM WebSphere에서 임의 코드를 실행하도록 허용합니다. 이 취약점을 악용하는데 인증 과정은 필요하지 않았습니다.

또한 이 취약점은 BroadcastMessageManager 클래스에 존재하며, 사용자 제공 데이터에 대한 올바른 검증이 이루어지지 않아 신뢰할 수 없는 데이터의 역직렬화를 초래할 수 있습니다.

CVE-2020-4448 취약점은 BroadcastMessageManager 클래스에 존재하며 SYSTEM 권한으로 임의 코드를 실행하는데 악용될 수 있습니다.

CVE-2020-4450 취약점은 IIOP 프로토콜 처리에 존재하며 공격자가 악용할 경우 루트 권한으로 코드를 실행할 수 있습니다.

이 취약점은 특수 제작한 일련의 직렬화된 오브젝트를 보냄으로써 악용이 가능합니다.

이는 IBM WebSphere Application Server 8.5와 9.0에 영향을 미치며 CVE-2020-4448 취약점은 WebSphere Virtual Enterprise Edition에도 영향을 미칩니다.

3번째 취약점인 CVE-2020-4449는 IIOP 역직렬화에 영향을 미치며 정보 유출로 이어질 수 있습니다. 

인증되지 않은 원격 공격자가 특수 제작된 일련의 직렬화된 오브젝트를 보내는 방식으로 악용할 수 있습니다.

IBM은 이 문제를 해결하였으며 실제 공격에서 악용된 사례는 발견하지 못했다고 밝혔습니다.

출처:

https://securityaffairs.co/wordpress/104504/security/ibm-websphere-rces.html