CVE-2020-14882

2020년 10월 말, 사이버 보안 분야에서는 Oracle WebLogic 서버를 대상으로 한 악의적인 활동이 포착되었습니다. 이러한 활동은 CVE-2020-14882로 알려진 Oracle WebLogic 서버 콘솔 구성 요소의 RCE 취약점을 반복적으로 이용하는 형태를 띠었습니다. 이 CVE는 CVSS 척도에서 9.8점을 받아 매우 심각한 것으로 평가되었습니다. 

CVE-2020-14882 개요

SANS ISC와 Rapid7 Labs는 이 심각한 RCE 결함을 통해 Oracle WebLogic 서버를 침해하는 적의 행동을 추적한 최초의 사이버 보안 커뮤니티였습니다. 이 취약점이 Oracle에서 패치를 출시한 직후에 적극적으로 악용되었다는 사실이 긴장을 가중시켰습니다. HTTP 요청을 이용한 손상됨으로써 위협 행위자는 호스트에 대한 완전한 통제권을 얻을 수 있습니다. 인증되지 않은 원격 사이버 범죄자는 단일 GET HTTP 요청을 사용하여 이러한 Oracle WebLogic 서버의 취약점을 악용할 수 있습니다. 

여기 오픈 소스 개념 증명 GitHub에 출시된 CVE-2020-14882용입니다.

CVE-2020-14882 주도적 취약점 탐지 및 완화 기법

이용 시도에 대응하기 위해 Oracle에서는 CVE-2020-14882에 대한 패치를 신속하게 발표했습니다. 다음 서버 버전은 주로 이 심각한 취약성에 취약한 것으로 나타났습니다:

• 12.1.3.0.0
• 12.2.1.3.0
• 12.2.1.4.0
• 14.1.1.0.0

Oracle WebLogic 서버를 사용하는 조직은 공격자가 CVE-2020-14882를 악용하려는 시도를 방어하기 위해 발표된 패치를 적용할 것을 강력히 권장합니다. 단기적으로 패치를 적용할 수 없는 회사는 몇 가지 완화 기법을 사용할 수 있습니다. 다음 기술은 패치를 대체할 수는 없지만 위협을 완화시킬 수 있으며, 구체적으로 다음과 같습니다:

• 관리 포털에 대한 접근 차단 
• 서버를 손상시키는 HTTP 요청에 대한 네트워크 트래픽의 지속적인 모니터링
• 다음과 같은 응용프로그램에 의해 실행되는 의심스러운 활동 체크 cmd.exe or /bin/sh

Spyce 검색 엔진에 따르면, 패치 발표 이후에도 3,000개 이상의 Oracle WebLogic 서버가 여전히 CVE-2020-14882에 취약합니다. 이는 CISO와 그 팀원들이 조직의 보안 도구와 호환되는 관련 SOC 콘텐츠를 적시에 획득하여 CVE-2020-14882 익스플로잇에 대해 적극적으로 방어할 것을 장려합니다.

CVE-2020-14882로 태그된 SOC 콘텐츠

SOC Prime 위협 탐지 마켓플레이스 8만 1천 개 이상의 SOC 콘텐츠 항목은 특정 CVE 및 APT 그룹이 사용하는 TTPs, 여러 MITRE ATT&CK® 매개 변수로 태그된 회사 특정 위협 프로파일에 맞춤화되었습니다.SOC Prime 콘텐츠 개발자 팀과 위협 현상금 콘텐츠 기여자는 크로스 플랫폼 탐지 및 대응 알고리즘, 파서, 구성, YARA 규칙, 머신 러닝 모델 및 대시보드를 포함한 글로벌 SOC 콘텐츠 라이브러리를 지속적으로 확장하고 있습니다. 새로 발표된 규칙은 Emir Erdogan 에 의해 제작되어 CVE-2020-14882의 적극적인 익스플로잇 탐지를 가능하게 합니다. 이 SOC 콘텐츠를 위협 탐지 마켓플레이스에서 바로 다운로드할 수 있습니다:

• 로그인 플랫폼에 합니다.

• “CVE-2020-14882”을 입력 검색 필드에 하고, 콘텐츠 페이지가 귀하의 기준과 일치하는 검색 결과를 표시하도록 업데이트됩니다. 필요한 탐지 콘텐츠가 포함된 콘텐츠 항목을 클릭합니다. 

• 보안 솔루션에 적용 가능한 형식으로 규칙을 변환할 플랫폼을 선택합니다.

• 단일 클릭으로 SIEM, EDR 또는 NTDR 인스턴스에 수동으로 콘텐츠를 배포합니다. 

• Manually deploy content to your SIEM, EDR, or NTDR instance with a single click. 

현재 CVE-2020-14882를 다루는 이 SOC 콘텐츠는 Sigma 형식, Elastic  Stack 및 Azure Sentinel, Sumo Logic, Chronicle Security 같은 클라우드 기반 보안 도구를 포함한 대다수의 SIEM 및 EDR 솔루션에서 사용 가능합니다.

Corelight, CrowdStrike, Microsoft Defender ATP 및 Sysmon의 번역이 곧 출시됩니다.

귀하의 보안 도구와 호환되는 최신 SOC 콘텐츠를 찾고 계신가요? 위협 탐지 마켓플레이스에 가입하세요 — 완전 무료입니다! 코딩을 즐기고 원하는 인증된 콘텐츠를 제작하고 싶으신가요? 우리의 위협 현상금 프로그램에 참여하세요 그리고 위협 탐지 마켓플레이스 콘텐츠 라이브러리를 풍부하게 만드는 데 도움을 주세요.