✅ 보고서 제목: Oracle WebLogic 취약점 보고서: CVE-2017-10271

✅ 보고서 요약:

- 2017년 10월 19일, Oracle WebLogic(오라클 웹로직) 취약점인 CVE-2017-10271이 긴급하게 패치되었습니다.

- 해당 취약점은 하단에 나열된 버전의 제품에서 취약한 것으로 확인되었습니다.

- Oracle WebLogic < 10.3.6.0.0

- Oracle WebLogic < 12.1.3.0.0

- Oracle WebLogic < 12.2.1.1.0

- Oracle WebLogic < 12.2.1.2.0

- CVSS3.1: 7.5의 High 취약점으로 발표되었습니다.

- 최근까지도 여러 위협그룹이 해당 취약점을 실제로 악용한 사례가 확인되고 있으므로, 즉각적인 대응이 필요합니다.

- 해당 취약점은 오라클에서 안전하지 않은 역직렬화로 인해 발생하는 원격 코드 실행 취약점입니다.

- 취약점의 근본 원인은 WebLogic Server의 WSAT(Web Services Atomic Transaction) 엔드포인트와 관련된 안전하지 않은 역직렬화에 있습니다.

- 공격자는 T3 프로토콜을 통해 CoordinatorPortType 웹 서비스에 악의적인 XML 요청을 전달합니다.

- 이 취약점은 WLS Security 하위 구성요소의 WorkContextXmlInputAdapter 클래스에서 발생합니다.

- 수신한 직렬화 XML 데이터를 처리하는 과정에서 XMLDecoder가 공격자가 조작한 java.lang.Class 객체와 같은 악의적인 Java 객체를 안전성 검사 없이 역직렬화하게 됩니다.

- 해당 과정을 통해 원격지의 공격자는 임의의 코드를 실행할 수 있습니다.

- 공격자는 대량의 IP 주소를 대상으로 WebLogic Server의 기본 포트인 7001에 대한 스캐닝을 진행합니다.

- 응답을 통해 취약한 버전의 서버인지 확인하는 작업을 수행합니다.

- 악의적으로 생성된 직렬화 데이터를 전송합니다.

- 서버에 웹쉘(WebShell)과 같은 파일을 생성하여 영속성을 유지합니다.

- T3 프로토콜을 사용하는 포트 및 서비스에 대해서 비정상적인 데이터의 모니터링이 필요합니다.

- 악성 XML 페이로드의 특정 패턴이 포함된 패킷을 탐지하는 규칙을 적용해야 합니다.

- 정상적인 WebLogic의 동작범위를 벗어난 명령 실행 등에 대한 실행 행위를 감지해야 합니다.

- 위협탐지 룰을 업데이트하고, 지속적인 모니터링 및 최신 버전의 패치를 권장합니다.

- 보안 업데이트된 최신 버전을 다운로드하여 설치를 진행해야 합니다.

- 패치가 불가능할 경우, 하단의 조치 방안에 따라 조치할 것을 권장합니다.

- CoordinatorPortType을 사용하지 않는다면, 비활성화하는 방안을 고려해야 합니다.

(참고) 해당 취약점의 PoC/Exploit 코드가 공개된 상태입니다.

🧑‍💻 보고서 작성자: S2W TALON

👉 보고서 전문 문의하기: https://s2w.inc/ko/contact

*해당 보고서는 별도 문의 가능하며 S2W의 QUAXAR 플랫폼 구독 시 전문으로 제공됩니다.