Weblogic의 임의 코드 실행 (CVE-2018-2894)
에, 임의의 코드가 가능한 취약성이 공개(CVE-2018-2894)되었습니다.
취약점 공개 후 github과 중국권을 중심으로 한 검증 사이트에서 PoC가 공개됩니다.
취약성
취약점의 영향을 받는 버전은 다음과 같습니다. 이번 검증한 12.2.1.0.0에서도 취약했으므로, 이하 버전 이전에는 조심해야 합니다.
취약한 환경
Weblogic을 시작하고 콘솔 화면에 로그인합니다. 로그인한 후 도메인 구조의 base_domain을 클릭합니다.
아래로 스크롤하면 "웹 서비스 테스트 페이지 활성화"항목이 있으므로 이것을 선택합니다. Weblogic을 다시 시작해야 할 것 같아서 다시 시작.
hXXp://localhost:7001/ws_utc/config.do로 이동하면 성공적인 페이지가 공개되었습니다. 7001 포트는 데포이므로, 자신의 환경에 따라 액세스 해 주세요.
렛츠 검증
검증된 PoC:
htps : // 등 w. Giteubuse r 콘텐트 t. 이 m/㎁dG레y/Cゔぇ-2018-2894/마s r/Cゔ-2018-2894. py
첫 단계:
현재 작업 디렉토리를 다른 디렉토리로 변경합니다.
자신의 현재 디렉토리에 새로운 CSS 폴더가 추가되었습니다.
두 번째 단계:
/ws_utc/resources/setting/keystore로 여러 파일을 업로드합니다. 이 PoC는 문자열을 표시하는 여러 파일을 업로드하지만 다른 PoC에서는 여기에서 Backdoor를 업로드합니다.
업로드한 파일에 액세스하려면 타임스탬프가 필요합니다. 서버로부터 다음과 같은 응답이 돌아오므로, 5개의 파일이 업로드 할 수 있었던 것을 알 수 있습니다.
세 번째 단계:
타임스탬프를 포함한 파일에 액세스합니다. (hXXp://localhost:7001/ws_utc/css/config/keystore/1532091925590-_360sglab.jsp)
문자열이 표시되어 무사 PoC가 성공했음을 확인할 수있었습니다.
번외:
업로드된 파일은 두 패턴으로 확인할 수 있습니다.
차이점은 웹에서 jsp 파일 만 볼 수 있으며 설치 폴더는 모두 볼 수 있다는 것입니까?
첫 번째는 보안 탭을 눌러 업로드 목록을 볼 수 있습니다.
두 번째는 설치 폴더의 부하를 확인하여 업로드 목록을 볼 수 있습니다.
설치 폴더\user_projects\domains\base_domain\servers\AdminServer\tmp_WL_internal\com.oracle.webservices.wls.ws-testclient-app-wls\4mcj4y\war\css\config\keystore
마지막으로
현재의 PoC는 테스트 페이지를 의도적으로 생성하지 않으면 성공하지 않는 것 같습니다.
그 때문에 12월 말에 나온 취약성과 달리 그다지 영향은 없다고 생각합니다.
허니팟에서도 본 취약성이라고 생각되는 검지도 없는 것입니다.
추가 7월 21일
위의 PoC는 업데이트되었으므로 현재 동작은 다릅니다.
Reference
이 문제에 관하여(Weblogic의 임의 코드 실행 (CVE-2018-2894)), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/oraizonja/items/c26dc25dddfb345440fb
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
검증된 PoC:
htps : // 등 w. Giteubuse r 콘텐트 t. 이 m/㎁dG레y/Cゔぇ-2018-2894/마s r/Cゔ-2018-2894. py
첫 단계:
현재 작업 디렉토리를 다른 디렉토리로 변경합니다.
자신의 현재 디렉토리에 새로운 CSS 폴더가 추가되었습니다.
두 번째 단계:
/ws_utc/resources/setting/keystore로 여러 파일을 업로드합니다. 이 PoC는 문자열을 표시하는 여러 파일을 업로드하지만 다른 PoC에서는 여기에서 Backdoor를 업로드합니다.
업로드한 파일에 액세스하려면 타임스탬프가 필요합니다. 서버로부터 다음과 같은 응답이 돌아오므로, 5개의 파일이 업로드 할 수 있었던 것을 알 수 있습니다.
세 번째 단계:
타임스탬프를 포함한 파일에 액세스합니다. (hXXp://localhost:7001/ws_utc/css/config/keystore/1532091925590-_360sglab.jsp)
문자열이 표시되어 무사 PoC가 성공했음을 확인할 수있었습니다.
번외:
업로드된 파일은 두 패턴으로 확인할 수 있습니다.
차이점은 웹에서 jsp 파일 만 볼 수 있으며 설치 폴더는 모두 볼 수 있다는 것입니까?
첫 번째는 보안 탭을 눌러 업로드 목록을 볼 수 있습니다.
두 번째는 설치 폴더의 부하를 확인하여 업로드 목록을 볼 수 있습니다.
설치 폴더\user_projects\domains\base_domain\servers\AdminServer\tmp_WL_internal\com.oracle.webservices.wls.ws-testclient-app-wls\4mcj4y\war\css\config\keystore
마지막으로
현재의 PoC는 테스트 페이지를 의도적으로 생성하지 않으면 성공하지 않는 것 같습니다.
그 때문에 12월 말에 나온 취약성과 달리 그다지 영향은 없다고 생각합니다.
허니팟에서도 본 취약성이라고 생각되는 검지도 없는 것입니다.
추가 7월 21일
위의 PoC는 업데이트되었으므로 현재 동작은 다릅니다.
Reference
이 문제에 관하여(Weblogic의 임의 코드 실행 (CVE-2018-2894)), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/oraizonja/items/c26dc25dddfb345440fb
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
위의 PoC는 업데이트되었으므로 현재 동작은 다릅니다.
Reference
이 문제에 관하여(Weblogic의 임의 코드 실행 (CVE-2018-2894)), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/oraizonja/items/c26dc25dddfb345440fb텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)