■ CVE-2017-12615

- PUT 메소드를 사용하여 Windows 서버에 HTTP 요청을 보낼 때 이를 조작하여 jsp 파일을 서버에 업로드할 수 있는 원격 코드 취약점

- 설정필요, web.xml 파일을 통해 readonly 설정을 false로 변경해야 취약점이 발생

- 공격 Method : PUT

- 공격 Vector : SecureCAST 에서 확인 가능

- 취약 버전 : Apache Software Foundation Tomcat 7.0.0 - 7.0.79

- CVSS Score : 81, CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

 

- 대응 방안

1) readonly 설정을 false로 하지 않는다. (default : Ture)

2) PUT 메소드 사용을 제한 한다.

3) 최신 패치를 적용 한다.

http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81

 

- Sniper 대응 방안

패턴블럭 : [3148] HTTP PUT Method

WEBCGI : [5438] Allaire JRun JSP Source Disclosure Vulnerability

패턴블럭 : [3723] Apache Tomcat VirtualDirContext Information Disclosure

패턴블럭 : [3724] Apache Tomcat VirtualDirContext Information Disclosure.A

패턴블럭 : [3725] Apache Tomcat VirtualDirContext Information Disclosure.B

패턴블럭 : [3726] Apache Tomcat VirtualDirContext Information Disclosure.C

 

 

■ CVE-2017-12616

- VirtualDirContext 클래스 사용 시 해당 클래스가 제공하는 리소스에 대해 보안 정책을 우회하여 jsp 소스 코드를 볼 수 있는 정보 노출 취약점

- 설정필요, server.xml 파일에 VirtualDirContext 설정이 필요

- 공격 Method : GET

- 공격 Vector : SecureCAST 에서 확인 가능

- 취약 버전 : Apache Software Foundation Tomcat 7.0.0 - 7.0.80

- CVSS Score : 53, CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

 

- 대응 방안

1) VirtualDirContext 설정을 사용하지 않는다.

2) 최신 패치를 적용 한다.

http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81

 

- Sniper 대응 방안

WEBCGI : [5438] Allaire JRun JSP Source Disclosure Vulnerability

패턴블럭 : [3723] Apache Tomcat VirtualDirContext Information Disclosure

패턴블럭 : [3724] Apache Tomcat VirtualDirContext Information Disclosure.A

패턴블럭 : [3725] Apache Tomcat VirtualDirContext Information Disclosure.B

패턴블럭 : [3726] Apache Tomcat VirtualDirContext Information Disclosure.C

 

 

■ CVE-2017-12617

- (CVE-2017-12615 동일한 환경에서 우회 방법이 발견) PUT 메소드를 사용하여 Windows 서버에 HTTP 요청을 보낼 때 이를 조작하여 jsp 파일을 서버에 업로드할 수 있는 원격 코드 취약점

- 설정필요, web.xml 파일을 통해 readonly 설정을 false로 변경해야 취약점이 발생

- 공격 Method : PUT

- 공격 Vector : SecureCAST 에서 확인 가능

- 취약 버전 : Apache Software Foundation Tomcat 7.0.0 - 7.0.81

- CVSS Score : 81, CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

 

- 대응 방안

1) readonly 설정을 False로 하지 않는다. (default : Ture)

2) PUT 메소드 사용을 제한 한다.

 

- Sniper 대응 방안

패턴블럭 : [3148] HTTP PUT Method

패턴블럭 : [3727] Apache Tomcat DefaultServlet PUT method File Upload

패턴블럭 : [3728] Apache Tomcat DefaultServlet PUT method File Upload.A

 

 

* CVE-2017-12617 의 경우 현재까지 패치가 제공되지 않은 Zero-Day 상태의 공격입니다.

- Apache_Tomcat_7.0.82 에서 패치 예정으로 확인

근거 : https://bz.apache.org/bugzilla/show_bug.cgi?id=61542

 

당사 허니넷에서 해당 공격이 확인되었으므로 각별한 주의가 필요합니다.

- 우선적으로 대응 방안 1) 과 2) 를 참고하여 대응하시는것을 권고 드립니다.

 

[그림1. 당사 허니넷 탐지 내역]

 

허니넷에 들어온 공격 형태의 경우 [3727], [3728] 패턴 외에도

서비스 공격 : [567] Common BBS File Upload/Download Webshell Vul... 로도 대응 가능 확인

- 패치가 공개되지 않은 만큼, 대응 차원에서 패킷 공유

 

[그림2. 패킷 내역]