[2019.04.29] WebLogic RCE 제로데이 취약점(CVE-2019-2725)

요약

- 최초 발견 : 4월 17일 중국 정부 취약점 데이터베이스에 등재(CNVD-C-2019-48814- http://www.cnvd.org.cn/webinfo/show/4989)

- 취약점 :wls9_async 와 wls-wsat 요소에 취약점 존재해 역직렬화 원격 명령어 실행이(Unauthenticated remote command execution-RCE) 가능. 

            공격자는 인증없이 원격으로 명령어 실행 공격이 가능.

- 공격시나리오 : 

(1) 공격자는 특수하게 가공한 XML 리퀘스트를 WebLogic 서버에 보냄.

(2) XML 리퀘스트는 서버가 코드를 실행하도록 하는데, 이 코드는 지정된 악성 호스트에 접속하고, 리퀘스트를 완료하도록 지시함.

(3) WebLogic 서버는 추가 공격 지시가 담긴 XML 리스판스를 악성 호스트로부터 받게 됨.

- 취약원인 : SANS ISC handler Rob VandenBrink에 따르면 취약 WAR 요소들이 모든 직렬화된 데이터를 받아 처리함과 동시에 

                “나쁜” 정보들의 블랙리스트도 함께 가지고 있어 취약점 존재.

                (따라서 이와 유사한 다른 취약점 존재 가능성이 높음)

- 선행조건 : wls9_async_response.war 과 wls-wsat.war 요소가 사용가능으로 지정

- 영향받는 제품 : WebLogic Server 버전 10.3.6.0.0, 12.1.3.0.0

- 대응방법 

(1) Fusion Middleware 패치 업데이트 

(2) WAR 패키지(wls9_async_response.war, wls-wsat.war) 를 삭제하고 Weblogic service 재시작

(3) /_async/* 와 /wls-wsat/* URL 패스 접근 제한

- 영향성 : 현재 해당 취약점을 이용한 공격이 성행 중임. 

관련 CVE정보

- CVE-2019-2725

- CVSS Base Score : 9.8

- PoC :  https://www.anquanke.com/post/id/177381 

           https://github.com/No4l/MyTools

- 재현 : https://www.tenable.com/blog/oracle-weblogic-affected-by-unauthenticated-remote-code-execution-vulnerability-cve-2019-2725

탐지룰 존재유무

(TrendMicro) 

Deep Packet Insepection Rules :

- 1009707 - Oracle Weblogic Server Remote Code Execution Vulnerability (CVE-2019-2725)

참고자료

출처 : https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

        https://www.tenable.com/blog/oracle-weblogic-affected-by-unauthenticated-remote-code-execution-vulnerability-cve-2019-2725

        https://medium.com/@knownseczoomeye/knownsec-404-team-oracle-weblogic-deserialization-rce-vulnerability-0day-alert-90dd9a79ae93