Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2017-10271] WebLogic Server RCE 취약점
작성일 2018-01-05 조회 1621

개요

WebLogic Server에서 원격코드실행 취약점이 발견되었습니다. Oracle WebLogic Server는 일반적으로 웹 어플리케이션 프로그램을 위한 Java Application Server플랫폼입니다. 구성 요소로는 Application Server, Portal, Application Integration 서비스, HTTP 웹 서버 등이 있으며 WebLogic Scripting Tool(이하 WLST)를 사용하여 원격으로 관리합니다. WebLogic은 T3프로토콜을 사용하며 7001포트를 통해 사용자의 요청을 전달받습니다. 이를 통해 사용자는 WebLogic에 직렬화된 객체를 보낼 수 있으며 취약점이 발생합니다.

 

분석내용

SOAP 프로토콜을 통한 XML 페이로드 전달시에 특정 태그에 원하는 코드만 포함해서 전송하면 검증이 누락되었기 때문에 쉽게 공격이 성공합니다. 일반적으로 SOAP 프로토콜은 HTTP 또는 HTTPS를 사용하여 XML기반의 메시지를 교환하기 위해 사용되며  WebLogic 서버에는 HTTP POST 메소드가 SOAP를 사용하여 서버로 전달합니다.

 

 WS-Coordination은 MS, IBM, BEA 시스템즈(오라클에 인수됨)에서 개발한 웹 서비스 사양입니다. 이 WS-Coordination은 SOAP를 기반으로 작동하는데 하위 구성요소인 WS-AtomicTransaction를 사용합니다. 이는 기존의 트랜잭션 처리시스템 등이 사용되는 이종 프로토콜간의 상호 호환을 위해 만들었으며 Weblogic은 WS-AtomicTransaction 기능을 지원합니다.

 

 WS-AtomicTransaction에서 정보는 XML을 통해 직렬화된 객체를 보내게되며 직렬화된 XML 데이터는 SOAP Request의 태그에 포함되어 전송됩니다.  SOAP Request의 "work : WorkContext"  태그안에 포함되면  xmlDecoder.readObject ()호출하여 여기에 포함되는 컨텍스트를 검증하지 않고 전달하게 됩니다. 이를 통해 임의의 코드를 서버에 전달함으로써 공격자는 공격에 성공할 수 있습니다.

 

아래 <그림 1>은 실제 공격에 사용된 패킷입니다. 다수의 공격을 분석한 결과 대부분의 Miner 채굴을 위한 감염을시도하는것을 확인하였습니다.

<그림 1 - CVE-2017-10271 취약점을 이용한 실 공격 패킷>

 

대응방안

1.해당 벤더사에서 릴리즈한 최신버전으로 업데이트한다.

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

 

2.당사 IPS에서는 아래의 패턴으로 대응이 가능합니다.

[3956] WebLogic CoordinatorPortType RCE
[3957] WebLogic CoordinatorPortType RCE.A
[3958] WebLogic CoordinatorPortType RCE.B
[3959] WebLogic CoordinatorPortType RCE.C
[3960] WebLogic CoordinatorPortType RCE.D
[3961] WebLogic CoordinatorPortType RCE.E
[3962] WebLogic CoordinatorPortType RCE.F
[3963] WebLogic CoordinatorPortType RCE.G
[3964] WebLogic CoordinatorPortType RCE.H
[3965] WebLogic CoordinatorPortType RCE.I
[3966] WebLogic CoordinatorPortType RCE.J
[3967] WebLogic CoordinatorPortType RCE.K
[3976] WebLogic CoordinatorPortType RCE.L
[3977] WebLogic CoordinatorPortType RCE.M
[3978] WebLogic CoordinatorPortType RCE.N
[3979] WebLogic CoordinatorPortType RCE.O 外 다수

 

*아울러 후속 공격인 Miner에 대응 패턴은 아래와 같습니다.

[3935] Win32/Miner.Minergate.1019392
[3934] Win32/Miner.Minergate.Connection.A
[3933] Win32/Miner.Minergate.30720
[3932] Win32/Miner.Minergate.6144
[3931] Win32/Miner.Minergate.Connection
[3930] Win32/Miner.Minexmr.512000
[3668] Win32/Trojan.CoinMiner.83459
[3802] Android/Miner.Coinhive.Connection
[3801]Android/Miner.Coinhive.26240916 
[3800]Android/Miner.Coinhive.33610190
[3526] Linux/Miner.SambaCry.18424
[3527] Linux/Miner.SambaCry.9480
[3610] Linux/Miner.CopyMiner.924952
[3975] Win32/Miner.Monero.Connection.B
[3974] Win32/Miner.Monero.Connection.A
[3973] Win32/Miner.Monero.Connection
[3972] Win32/Miner.Monero.1144832 外 다수

 

참고

http://vulsee.com/archives/vulsee_2017/1222_5094.html
https://github.com/1337g/CVE-2017-10271
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
https://open.work.weixin.qq.com/wwopen/mpnews?mixuin=3_HVCQAABwBuIkeyAAAUAA&mfid=WW0322-Jy56dgAABwC3hf2NINzB1w1SNvc1c&idx=0&sn=55e0f6343b34c62e1980af706e491188&from=timeline&isappinstalled=0
https://vuldb.com/?id.108063
https://zhuanlan.zhihu.com/p/32301092

 

첨부파일 첨부파일이 없습니다.
태그 CVE-2017-10271  WebLogic  RCE