Weblogic의 임의 코드 실행 (제로 데이)
개요
4 월 17 일, Oracle Fusion Middleware의 Oracle WebLogic wls9-async, wls-wsat 구성 요소에 제로 데이 취약점이 존재한다는 정보이 공개되었습니다.
내용을 확인하는 한, 2017년 말에 PoC가 나온 CVE-2017-10271과 같은 냄새가 났습니다.
ZDNET 기사 에서는, 스캔 활동이 시작되고 있다고 되어 있어 확실히 25일 0시 이후보다 wls9-async 컴퍼넌트의 유무를 조사하고 있는 움직임이 있었습니다.
그리고 마침내 25일 점심에는 공격 코드가 공개되어 같은 날 14시경부터 185.234.218.248부터 허니팟으로 공격을 탐지하기 시작했습니다.
취약성의 영향 범위
취약점의 영향을 받는 버전은 다음과 같지만 위의 링크된 정보이며 정확하다는 보장은 없습니다.
이번에 검증한 12.1.3에서 wls9-async가 설치된 상황에서는 취약하다는 것을 확인했습니다.
· WebLogic 10.X
· WebLogic 12.1.3
검증
검증은/_async/AsyncResponseService 및/wls-wsat/CoordinatorPortType에서 성공했음을 확인했습니다.
wls9-async 컴퍼넌트를 이용하고 있는 경우,/_async/AsyncResponseService가 공개되어, 이하의 화상과 같은 응답을 돌려주기 때문에, weblogic를 이용되고 있는 분은 꼭 확인하는 것을 추천합니다.
대책
잠정 대책입니다만,/_async/* 및/wls-wsat/* 향한 통신을 URL 필터링이 제일이라고 생각합니다.
또, wls9-async 및 wls-wsat 컴퍼넌트를 삭제하는 것으로, 현재의 영구 대책이 됩니다.
마지막으로
10연휴라는 사회인 여러분에게 있어서는 최고의 대형 연휴전인데, 지난 2017년 말 같은 취약성감이 있습니다.
공격자에게 있어서는 휴일은 관계 없기 때문에, 꼭 URL 규제로 골든 위크를 극복해 주었으면 합니다.
Reference
이 문제에 관하여(Weblogic의 임의 코드 실행 (제로 데이)), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/oraizonja/items/975f8bb0b216a9799a77
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
취약점의 영향을 받는 버전은 다음과 같지만 위의 링크된 정보이며 정확하다는 보장은 없습니다.
이번에 검증한 12.1.3에서 wls9-async가 설치된 상황에서는 취약하다는 것을 확인했습니다.
· WebLogic 10.X
· WebLogic 12.1.3
검증
검증은/_async/AsyncResponseService 및/wls-wsat/CoordinatorPortType에서 성공했음을 확인했습니다.
wls9-async 컴퍼넌트를 이용하고 있는 경우,/_async/AsyncResponseService가 공개되어, 이하의 화상과 같은 응답을 돌려주기 때문에, weblogic를 이용되고 있는 분은 꼭 확인하는 것을 추천합니다.
대책
잠정 대책입니다만,/_async/* 및/wls-wsat/* 향한 통신을 URL 필터링이 제일이라고 생각합니다.
또, wls9-async 및 wls-wsat 컴퍼넌트를 삭제하는 것으로, 현재의 영구 대책이 됩니다.
마지막으로
10연휴라는 사회인 여러분에게 있어서는 최고의 대형 연휴전인데, 지난 2017년 말 같은 취약성감이 있습니다.
공격자에게 있어서는 휴일은 관계 없기 때문에, 꼭 URL 규제로 골든 위크를 극복해 주었으면 합니다.
Reference
이 문제에 관하여(Weblogic의 임의 코드 실행 (제로 데이)), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/oraizonja/items/975f8bb0b216a9799a77
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
잠정 대책입니다만,/_async/* 및/wls-wsat/* 향한 통신을 URL 필터링이 제일이라고 생각합니다.
또, wls9-async 및 wls-wsat 컴퍼넌트를 삭제하는 것으로, 현재의 영구 대책이 됩니다.
마지막으로
10연휴라는 사회인 여러분에게 있어서는 최고의 대형 연휴전인데, 지난 2017년 말 같은 취약성감이 있습니다.
공격자에게 있어서는 휴일은 관계 없기 때문에, 꼭 URL 규제로 골든 위크를 극복해 주었으면 합니다.
Reference
이 문제에 관하여(Weblogic의 임의 코드 실행 (제로 데이)), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/oraizonja/items/975f8bb0b216a9799a77
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
Reference
이 문제에 관하여(Weblogic의 임의 코드 실행 (제로 데이)), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/oraizonja/items/975f8bb0b216a9799a77텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)