오라클 WebLogic의 치명적인 취약점 CVE-2020-14882, 실제 공격에 활발히 악용돼

Critical Oracle WebLogic flaw CVE-2020-14882 actively exploited in the wild

 

공격자들이 CVE-2020-14882로 등록된 치명적인 취약점을 악용할 목적으로 인터넷에서 취약한 오라클 WebLogic을 사용하는 서버를 탐색하기 시작한 것으로 나타났습니다.

 

인증되지 않은 공격자가 CVE-2020-14882를 악용할 경우 단순한 HTTP GET 요청을 보내 시스템을 탈취할 수 있습니다.

 

이 취약점은 심각도 10점 만점에 9.8점을 받았으며, 오라클 이달의 CPU(Critical Patch Update)에서 수정되었습니다.

 

이 취약점은 오라클 WebLogic 서버 버전 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0에 영향을 미칩니다.

 

이 취약점은 Chaitin Security Research Lab의 보안 연구원인 Voidfyoo가 발견했습니다.

 

SANS Technology Institute의 보안 연구원들은 CVE-2020-14882에 대한 익스플로잇 코드가 공개 된 후 공격을 포착하기 위한 허니팟을 설치했습니다.

 

SANS의 Johannes Ullrich에 따르면 허니팟을 노린 공격은 아래 IP 주소에서 시작되었습니다.

 

- 114.243.211.182 – China Unicom에 할당됨

- 139.162.33.228 – Linode (미국)에 할당됨

- 185.225.19.240 – MivoCloud (몰도바)에 할당됨

- 84.17.37.239 – DataCamp Ltd (홍콩)에 할당됨

 

SANS에 따르면, 공격에 사용된 익스플로잇은 ‘Jang’이라는 연구원이 블로그에 공개한 코드를 기반으로 만든 것으로 보입니다.

 

“현재 이러한 악용 시도는 단지 시스템이 취약한지 확인하기 위한 것입니다. 허니팟은 지금까지는 “올바른” 응답을 반환하지 않으며 아직까지 후속 요청을 보지 못했습니다.”

 

SANS Institute는 공격과 관련된 IP 주소를 운영하는 인터넷 서비스 공급업체에 이에 대해 경고하고 있습니다.

 

공격자가 사용한 익스플로잇은 시스템이 취약한 지 확인하기 위해서만 조사합니다.

 

 

<이미지 출처: https://twitter.com/jas502n/status/1321416053050667009>

 

 

Spyse 엔진에서 온라인에 노출된 CVE-2020-14882에 취약한 Oracle WebLogic 서버를 검색한 결과 3,000건 이상이 발견되었습니다.

 

 

<이미지 출처: https://twitter.com/3XS0/status/1321721983227355137>

 

 

Oracle WebLogic 서버 관리자는 되도록 빠른 시일 내 CVE-2020-14882 취약점을 패치하는 것이 좋습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/110137/hacking/weblogic-flaw-cve-2020-14882-attacks.html

https://testbnull.medium.com/weblogic-rce-by-only-one-get-request-cve-2020-14882-analysis-6e4b09981dbf