Weblogic의 임의 코드 실행 (CVE-2018-2894)

7 월 18 일, Oracle Fusion Middleware의 Oracle WebLogic Server
에, 임의의 코드가 가능한 취약성이 공개(CVE-2018-2894)되었습니다.
취약점 공개 후 github과 중국권을 중심으로 한 검증 사이트에서 PoC가 공개됩니다.

취약성



취약점의 영향을 받는 버전은 다음과 같습니다. 이번 검증한 12.2.1.0.0에서도 취약했으므로, 이하 버전 이전에는 조심해야 합니다.
  • 10.3.6.0
  • 12.1.3.0
  • 12.2.1.2
  • 12.2.1.3

  • 취약한 환경



    Weblogic을 시작하고 콘솔 화면에 로그인합니다. 로그인한 후 도메인 구조의 base_domain을 클릭합니다.



    아래로 스크롤하면 "웹 서비스 테스트 페이지 활성화"항목이 있으므로 이것을 선택합니다. Weblogic을 다시 시작해야 할 것 같아서 다시 시작.



    hXXp://localhost:7001/ws_utc/config.do로 이동하면 성공적인 페이지가 공개되었습니다. 7001 포트는 데포이므로, 자신의 환경에 따라 액세스 해 주세요.



    렛츠 검증



    검증된 PoC:
    htps : // 등 w. Giteubuse r 콘텐트 t. 이 m/㎁dG레y/Cゔぇ-2018-2894/마s r/Cゔ-2018-2894. py

    첫 단계:
    현재 작업 디렉토리를 다른 디렉토리로 변경합니다.
    자신의 현재 디렉토리에 새로운 CSS 폴더가 추가되었습니다.



    두 번째 단계:
    /ws_utc/resources/setting/keystore로 여러 파일을 업로드합니다. 이 PoC는 문자열을 표시하는 여러 파일을 업로드하지만 다른 PoC에서는 여기에서 Backdoor를 업로드합니다.



    업로드한 파일에 액세스하려면 타임스탬프가 필요합니다. 서버로부터 다음과 같은 응답이 돌아오므로, 5개의 파일이 업로드 할 수 있었던 것을 알 수 있습니다.



    세 번째 단계:
    타임스탬프를 포함한 파일에 액세스합니다. (hXXp://localhost:7001/ws_utc/css/config/keystore/1532091925590-_360sglab.jsp)
    문자열이 표시되어 무사 PoC가 성공했음을 확인할 수있었습니다.



    번외:
    업로드된 파일은 두 패턴으로 확인할 수 있습니다.
    차이점은 웹에서 jsp 파일 만 볼 수 있으며 설치 폴더는 모두 볼 수 있다는 것입니까?

    첫 번째는 보안 탭을 눌러 업로드 목록을 볼 수 있습니다.


    두 번째는 설치 폴더의 부하를 확인하여 업로드 목록을 볼 수 있습니다.
    설치 폴더\user_projects\domains\base_domain\servers\AdminServer\tmp_WL_internal\com.oracle.webservices.wls.ws-testclient-app-wls\4mcj4y\war\css\config\keystore

    마지막으로



    현재의 PoC는 테스트 페이지를 의도적으로 생성하지 않으면 성공하지 않는 것 같습니다.
    그 때문에 12월 말에 나온 취약성과 달리 그다지 영향은 없다고 생각합니다.
    허니팟에서도 본 취약성이라고 생각되는 검지도 없는 것입니다.

    추가 7월 21일



    위의 PoC는 업데이트되었으므로 현재 동작은 다릅니다.

    좋은 웹페이지 즐겨찾기