요약
- 취약점 : Alibaba Cloud 보안팀이 CVE-2019-2725 패치의 취약점 발견.
공격자는 CVE-2019-2725 패치를 우회해 임의의 코드 실행이 가능함. 현재 해당 공격이 활발히 이루어지고 있음.
- 취약원인 : Weblogic을 서포트 하는 JDK 버전에 취약점 존재.
- 영향 받는 제품 :
Oracle WebLogic Server 10.3.6.0.0,
Oracle WebLogic Server 12.1.3.0.0
- 공식 대응법 : 6/12일 Oracle은 취약점에 대해 공식적으로 확인하였으나 대응법을 발표 하지 않음
- 임시 대응법 :
방법1) wls9_async_response.war, wls-wsat.war 파일을 찾아 삭제 후 Weblogic 서비스를 재 시작.
(wls9_async_response.war, wls-wsat.war 파일을 직접적으로 사용하지 않는 경우 추천)
<파일경로>
10.3.X 버전:
\Middleware\wlserver_10.3\server\lib\
%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
12.1.3 버전 :
\Middleware\Oracle_Home\oracle_common\modules\
%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
방법2) /_async/* 와 /wls-wsat/* 경로의 URL 접근을 제한.
-> 비지니스 시스템 작동에 문제를 일으킬 수 있으므로, whitelist 기반 특정 사용자만 접근이 가능하도록 정책 변경.
방법3) Weblogic 지원 Java 버전 업그레이드
관련 CVE정보
- CNNVD-201906-596 (중국 NISVL 지정)
- PoC : 현재(2019.06.18 16:00) 없음.
영향성
CVE-2019-2725에 대한 패치가 적용 되었더라고 공격이 가능함으로, 신속한 임시 대응 조치가 필요함.
참고자료
출처 : https://medium.com/@knownsec404team/knownsec-404-team-alert-again-cve-2019-2725-patch-bypassed-32a6a7b7ca15
https://read01.com/oAONReQ.html#.XQiB-1Uzb28
https://4hou.win/wordpress/?cat=20
https://www.anquanke.com/post/id/180390
'Vulnerability' 카테고리의 다른 글
| [2019.07.12] CVE-2019-11581 Jira 서버, 데이터 센터 코드 실행 취약점 (0) | 2019.07.12 |
|---|---|
| [2019.06.19] BlueKeep(CVE-2019-0708) 취약 OS 추가발견 (0) | 2019.06.19 |
| [2019.06.14] Exim 원격 명령어 실행 취약점(CVE-2019-10149) 대상 공격 성행 (0) | 2019.06.14 |
| [2019.05.20] RSA NetWitness 명령어 삽입 취약점 (CVE-2019-3725) (0) | 2019.06.10 |
| [2019.05.20] RSA NetWitness 인증우회 취약점 (CVE-2019-3724) (0) | 2019.06.10 |