CVE-2020-14882

최신 위협

11월 12, 2020

3 분 읽기

CVE-2020-14882

Alla Yurchenko
Alla Yurchenko 위협 보상 프로그램 리드

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
목차

주간 요약 구독하기

SOC Prime 사용자에게만 독점 제공

Newsletter Icon

2020년 10월 말, 사이버 보안 분야에서는 Oracle WebLogic 서버를 대상으로 한 악의적인 활동이 포착되었습니다. 이러한 활동은 CVE-2020-14882로 알려진 Oracle WebLogic 서버 콘솔 구성 요소의 RCE 취약점을 반복적으로 이용하는 형태를 띠었습니다. 이 CVE는 CVSS 척도에서 9.8점을 받아 매우 심각한 것으로 평가되었습니다. 

CVE-2020-14882 개요

SANS ISC와 Rapid7 Labs는 이 심각한 RCE 결함을 통해 Oracle WebLogic 서버를 침해하는 적의 행동을 추적한 최초의 사이버 보안 커뮤니티였습니다. 이 취약점이 Oracle에서 패치를 출시한 직후에 적극적으로 악용되었다는 사실이 긴장을 가중시켰습니다. HTTP 요청을 이용한 손상됨으로써 위협 행위자는 호스트에 대한 완전한 통제권을 얻을 수 있습니다. 인증되지 않은 원격 사이버 범죄자는 단일 GET HTTP 요청을 사용하여 이러한 Oracle WebLogic 서버의 취약점을 악용할 수 있습니다. 

여기 오픈 소스 개념 증명 GitHub에 출시된 CVE-2020-14882용입니다.

CVE-2020-14882 주도적 취약점 탐지 및 완화 기법

이용 시도에 대응하기 위해 Oracle에서는 CVE-2020-14882에 대한 패치를 신속하게 발표했습니다. 다음 서버 버전은 주로 이 심각한 취약성에 취약한 것으로 나타났습니다:

  • 12.1.3.0.0
  • 12.2.1.3.0
  • 12.2.1.4.0
  • 14.1.1.0.0

Oracle WebLogic 서버를 사용하는 조직은 공격자가 CVE-2020-14882를 악용하려는 시도를 방어하기 위해 발표된 패치를 적용할 것을 강력히 권장합니다. 단기적으로 패치를 적용할 수 없는 회사는 몇 가지 완화 기법을 사용할 수 있습니다. 다음 기술은 패치를 대체할 수는 없지만 위협을 완화시킬 수 있으며, 구체적으로 다음과 같습니다:

  • 관리 포털에 대한 접근 차단 
  • 서버를 손상시키는 HTTP 요청에 대한 네트워크 트래픽의 지속적인 모니터링
  • 다음과 같은 응용프로그램에 의해 실행되는 의심스러운 활동 체크 cmd.exe or /bin/sh

Spyce 검색 엔진에 따르면, 패치 발표 이후에도 3,000개 이상의 Oracle WebLogic 서버가 여전히 CVE-2020-14882에 취약합니다. 이는 CISO와 그 팀원들이 조직의 보안 도구와 호환되는 관련 SOC 콘텐츠를 적시에 획득하여 CVE-2020-14882 익스플로잇에 대해 적극적으로 방어할 것을 장려합니다.

CVE-2020-14882로 태그된 SOC 콘텐츠

SOC Prime 위협 탐지 마켓플레이스 8만 1천 개 이상의 SOC 콘텐츠 항목은 특정 CVE 및 APT 그룹이 사용하는 TTPs, 여러 MITRE ATT&CK® 매개 변수로 태그된 회사 특정 위협 프로파일에 맞춤화되었습니다.SOC Prime 콘텐츠 개발자 팀과 위협 현상금 콘텐츠 기여자는 크로스 플랫폼 탐지 및 대응 알고리즘, 파서, 구성, YARA 규칙, 머신 러닝 모델 및 대시보드를 포함한 글로벌 SOC 콘텐츠 라이브러리를 지속적으로 확장하고 있습니다. 새로 발표된 규칙은 Emir Erdogan 에 의해 제작되어 CVE-2020-14882의 적극적인 익스플로잇 탐지를 가능하게 합니다. 이 SOC 콘텐츠를 위협 탐지 마켓플레이스에서 바로 다운로드할 수 있습니다:

  • “CVE-2020-14882”을 입력 검색 필드에 하고, 콘텐츠 페이지가 귀하의 기준과 일치하는 검색 결과를 표시하도록 업데이트됩니다. 필요한 탐지 콘텐츠가 포함된 콘텐츠 항목을 클릭합니다. 
  • 보안 솔루션에 적용 가능한 형식으로 규칙을 변환할 플랫폼을 선택합니다.



  • 단일 클릭으로 SIEM, EDR 또는 NTDR 인스턴스에 수동으로 콘텐츠를 배포합니다. 
  • Manually deploy content to your SIEM, EDR, or NTDR instance with a single click. 

 

현재 CVE-2020-14882를 다루는 이 SOC 콘텐츠는 Sigma 형식, Elastic  Stack 및 Azure Sentinel, Sumo Logic, Chronicle Security 같은 클라우드 기반 보안 도구를 포함한 대다수의 SIEM 및 EDR 솔루션에서 사용 가능합니다.

Corelight, CrowdStrike, Microsoft Defender ATP 및 Sysmon의 번역이 곧 출시됩니다.


귀하의 보안 도구와 호환되는 최신 SOC 콘텐츠를 찾고 계신가요? 위협 탐지 마켓플레이스에 가입하세요 완전 무료입니다! 코딩을 즐기고 원하는 인증된 콘텐츠를 제작하고 싶으신가요? 우리의 위협 현상금 프로그램에 참여하세요 그리고 위협 탐지 마켓플레이스 콘텐츠 라이브러리를 풍부하게 만드는 데 도움을 주세요.

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.
무료 가입 회의 예약

More 최신 위협 Articles

CVE-2026-20643: WebKit Navigation API의 취약점으로 동일 출처 정책을 우회할 수 있음 4 분 읽기 최신 위협 CVE-2026-20643: WebKit Navigation API의 취약점으로 동일 출처 정책을 우회할 수 있음 by Daryna Olyniychuk CVE-2026-3910: Chrome V8 제로데이, 실제 공격에 이용됨 4 분 읽기 최신 위협 CVE-2026-3910: Chrome V8 제로데이, 실제 공격에 이용됨 by Daryna Olyniychuk CVE-2026-21385: 구글, 타겟형 안드로이드 공격에서 악용된 퀄컴 제로데이 패치 4 분 읽기 최신 위협 CVE-2026-21385: 구글, 타겟형 안드로이드 공격에서 악용된 퀄컴 제로데이 패치 by Daryna Olyniychuk