Weblogic의 임의 코드 실행 (제로 데이)

일본에서 그다지 화제가 되지 않았기 때문에, 검증 결과를 블로그로 했습니다.

개요



4 월 17 일, Oracle Fusion Middleware의 Oracle WebLogic wls9-async, wls-wsat 구성 요소에 제로 데이 취약점이 존재한다는 정보이 공개되었습니다.
내용을 확인하는 한, 2017년 말에 PoC가 나온 CVE-2017-10271과 같은 냄새가 났습니다.

ZDNET 기사 에서는, 스캔 활동이 시작되고 있다고 되어 있어 확실히 25일 0시 이후보다 wls9-async 컴퍼넌트의 유무를 조사하고 있는 움직임이 있었습니다.
그리고 마침내 25일 점심에는 공격 코드가 공개되어 같은 날 14시경부터 185.234.218.248부터 허니팟으로 공격을 탐지하기 시작했습니다.

취약성의 영향 범위



취약점의 영향을 받는 버전은 다음과 같지만 위의 링크된 정보이며 정확하다는 보장은 없습니다.
이번에 검증한 12.1.3에서 wls9-async가 설치된 상황에서는 취약하다는 것을 확인했습니다.

· WebLogic 10.X
· WebLogic 12.1.3

검증



검증은/_async/AsyncResponseService 및/wls-wsat/CoordinatorPortType에서 성공했음을 확인했습니다.
wls9-async 컴퍼넌트를 이용하고 있는 경우,/_async/AsyncResponseService가 공개되어, 이하의 화상과 같은 응답을 돌려주기 때문에, weblogic를 이용되고 있는 분은 꼭 확인하는 것을 추천합니다.



대책



잠정 대책입니다만,/_async/* 및/wls-wsat/* 향한 통신을 URL 필터링이 제일이라고 생각합니다.
또, wls9-async 및 wls-wsat 컴퍼넌트를 삭제하는 것으로, 현재의 영구 대책이 됩니다.

마지막으로



10연휴라는 사회인 여러분에게 있어서는 최고의 대형 연휴전인데, 지난 2017년 말 같은 취약성감이 있습니다.
공격자에게 있어서는 휴일은 관계 없기 때문에, 꼭 URL 규제로 골든 위크를 극복해 주었으면 합니다.

좋은 웹페이지 즐겨찾기