Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2018-11759] APACHE MOD_JK 액세스 제어 우회 취약점 위협 경고
작성일 2018-11-22 조회 1637

Translation into English

Translation into Japanese (日本語への翻訳)

Translation into Chinese (翻译成中文)

 

 


최근 Apache Tomcat의 mod_jk 모듈에서 액세스 제어 우회 취약점 (CVE-2018-11759)에 대한 픽스를 발표했습니다.
이외에도 주요 Apache 취약점이 픽스 되었는데, 다수의 Apache 취약점 PoC가 공개되어 공격 위협이 증가하고 있습니다.

 

중국의 Github를 중심으로 많은 수의 PoC가 공개되었으며, 과거의 사례를 보았을때 Apache 취약점은 Exploit Kit에 탑재되 공격에 사용될 가능성이 높습니다.

 

 

 

[그림. 1] 중국 사이트에 업로드된 PoC 정보 (http://blog.nsfocus.net/apache-mod_jk/)

 

 

Apache 서버 사용자는 가능한 빨리 발표된 픽스를 적용하고 외부로 /jkstatus 경로가 노출되었는지 확인해야 합니다.
(https://archive.apache.org/dist/tomcat/tomcat-connectors/jk/tomcat-connectors-1.2.46-src.zip)

 

또한 서버 관리자는 다음 명령어를 이용해 취약한 지 여부를 판단할 수 있습니다.

 

strings mod_jk.so | grep mod jk

 

 

[그림. 2] 취약 버전 체크

 


이미 온라인상에서는 취약한 서버를 스캔하는 스캔 서버들이 해당취약점을 이용해 취약점 스캔을 하고 있습니다.

 

 

[그림. 3] 온라인상에서 CVE-2018-11759 취약점을 스캔하는 봇 트래픽

 

 

[그림. 4] 온라인상에서 CVE-2018-11759 취약점을 스캔하는 봇 트래픽

 


해당 취약점은 요청 된 경로를 정규화하는 데 사용되는 Apache Tomcat Web Server (HTTPD)의 코드가 ; 문자를 적절하게 처리하지 못하기 때문에 발생합니다.
CVE-2018-1759 취약점과 CVE-2018-1323 취약점과 동일한 사유로 발생하는 취약점입니다.

 

아파치 httpd는 경로 해석을 위해 URL의 세미콜론을 일반 문자로 해석하지만 Tomcat은 이것을 ( "?"와 비슷한 기능을 가진) 쿼리 구분 기호로 해석합니다. 
따라서 공격자는 http://server/java_app/..;를 통해 httpd에서 경로 통과를 트리거하지 않고 경로를 가져올 수 있습니다 .


Tomcat 웹 서버에서 문자열을 위와 같이 해석해 Tomcat 웹 서버에서 액세스 할 수 없도록 되어있는 리소스를 가져올 수 있습니다.

 

 

[그림. 5] 취약점 부분 Source Code

 

 

공격자는 URI에 ;(Semi Colne)을 삽입해 접근권한을 우회하는데, GET /jkstatus;를 통해 취약점 스캔을 시도합니다.
취약한 서버를 발견한 공격자는 GET /jkstatus;?cmd=를 이용해 정보유출의 커멘드를 삽입합니다.

 

 

 


► Proof of Concept

 

<일반 정상 요청>

curl "http://localhost/jkstatus"

 

 

 

<취약점 트리거 요청>

curl "http://localhost/jkstatus;"

 

 

 

 

<공격 시연 - 1>

[그림. 6] 취약점을 이용해 서버 정보를 확인

 

 

<공격 시연 - 2>


[그림. 7] 취약점을 이용해 설정정보 Dump

 

 

<공격 시연 - 3>


[그림. 8] 취약점을 이용해 서버 정보 수정 (https://www.immunit.ch/blog/2018/11/01/cve-2018-11759-apache-mod_jk-access-bypass/)

 

 

 

 

► WINS Sniper 대응방안
Sniper-IPS

[4572] Apache Tomcat mod_jk Access Control Bypass
[4573Apache Tomcat mod_jk Access Control Bypass.A

Sniper-UTM

[805374730] Apache Tomcat mod_jk Access Control Bypass
[805374731] Apache Tomcat mod_jk Access Control Bypass.A

Sniper-APTX

[3824] Apache Tomcat mod_jk Access Control Bypass
[3825] Apache Tomcat mod_jk Access Control Bypass.A

 

 

 

 


► IOC

Attacker
112.175.187.104
64.39.99.147

 

 

 

 

 

► 참조
http://tomcat.apache.org/security-jk.html
https://github.com/immunIT/CVE-2018-11759
https://support.f5.com/csp/article/K38108582
https://www.immunit.ch/blog/2018/11/01/cve-2018-11759-apache-mod_jk-access-bypass/
https://blog.nsfocusglobal.com/threats/vulnerability-analysis/apache-mod_jk-access-control-bypass-vulnerability-cve-2018-11759-threat-alert/

첨부파일 첨부파일이 없습니다.
태그 CVE-2018-11759