Weblogic의 탐사 행위? (CVE-2018-3252)

1848 단어 허니팟취약성
10월 16일, Oracle Fusion Middleware의 WLS Core Components
에, 임의의 코드가 가능한 취약성이 공개(CVE-2018-3252)되었습니다.
Oracle Critical Patch Update Advisory - October 2018

이 발표 약 1주일 후 이 취약점의 발견자인 'Zhiyi Zhang of 360 ESG Codesafe Team'씨는 22일 블로그 쪽에서 정보를 공개하고 있습니다.

취약점



weblogic의 사용자 인증을 우회하여 코드 실행을 시도하는 취약점 인 것 같습니다.
basic 인증을 돌파하고, 코드 실행할 수 있는 취약성인 것 같기 때문에, 최악이라고 하는 느낌이 아닌 인상입니다.
발견자 블로그의 경로에 액세스한 결과를 나열합니다.
①GET/bea_wls_deployment_internal/DeploymentService HTTP/1.1


컨텐츠가 존재하고 있었을 경우, 서버로부터는 컨텐츠 사이즈 0의, 200 OK 가 돌아옵니다.

②POST/bea_wls_deployment_internal/DeploymentService HTTP/1.1


content-length:0에서 올바른 username과 password를 붙이면 500 오류가 반환되었습니다.

허니팟에서 감지



이 취약점과 관련이 있는지 확실하지 않지만/bea_wls_deployment_internal은 오라클의 Critical Patch보다 12일 이내에 탐지하기 시작했습니다.
400개 이상의 IP 주소에서 총 2000회 정도의 액세스였습니다.
그러나/bea_wls_deployment_internal/DeploymentService가 존재하더라도/bea_wls_deployment_internal은 404를 반환합니다.
뭔가 깊은 이유도 있나요?



마지막으로



이번 취약점은 기본 인증이 필요할 것 같기 때문에 거기까지 영향은 높지 않지만,
공개하고 있으면 닫자.

좋은 웹페이지 즐겨찾기