Oracle WebLogic 서버 취약점 (CVE-2021-2109)으로 인한 서버 완전 점령

Oracle Fusion Middleware Console의 심각한 원격 코드 실행 문제는 Oracle WebLogic Server의 전면적 타협을 가능하게 합니다.

New Oracle WebLogic Server 취약점

이 결함은 높은 권한을 가진 인증된 행위자가 “JndiBinding” 핸들러를 오용하여 JNDI(Java Naming and Direction Interface) 인젝션을 실행할 수 있도록 합니다. 이는 공격자의 제어 하에 있는 서버에서 악의적인 클래스를 가져와 역직렬화할 수 있게 하며, 그 결과 Oracle WebLogic Server에서 임의 코드 실행이 발생합니다.

비록 착취 절차가 인증을 요구하지만, 공격자는 이전에 밝혀진 WebLogic Server의 원격 코드 실행(CVE-2020-14882)과 관련된 디렉터리 트래버설 방법을 이용하여 이 장애물을 극복할 수 있습니다. 결과적으로, CVE-2021-2109는 인증되지 않은 해커에 의해 단일 HTTP 요청을 통해 쉽게 악용될 수 있습니다.

이 취약점은 CVSS Version 3.1에 따라 7.2 점수를 받으며, 이는 높은 심각도의 버그로 분류됩니다. 특히, Oracle WebLogic Server의 보안 구멍은 위협 행위자들의 이목을 빠르게 끌며, CVE-2021-2109가 야생에서 악용될 가능성을 증가시킵니다.

이 취약점은 2020년 11월 19일에 Alibaba Cloud Security 연구 그룹에 의해 Oracle에 보고되었으며 공급업체에 의해 2021년 1월 20일에 패치되었습니다. 개념 증명 익스플로잇은 (인증된 공격자와 인증되지 않은 공격자 모두를 위해) 2021년 1월에 공개되었습니다.

이 버그는 다음 지원되는 Oracle WebLogic Server 버전에 영향을 미칩니다: 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 그리고 14.1.1.0.0. 사용자는 가능한 빨리 패치를 설치하여 잠재적 악용 시도를 방지해야 합니다.

CVE-2021-2109 탐지

새로운 Oracle WebLogic Server 버그(CVE-2021-2109)와 관련된 악의적 활동을 탐지하기 위해, SOC Prime Threat Bounty 개발자인 Emir Erdogan: 

이 개발한 Sigma 규칙을 적용할 수 있습니다. https://tdm.socprime.com/tdm/info/yY5BqZlgeBNl/JdjQcncBR-lx4sDxsiba/

이 규칙은 다음 플랫폼으로 번역되었습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness, FireEye Helix, Humio, Graylog, LogPoint

EDR: Carbon Black

MITRE ATT&CK:

전술: 초기 액세스

기술: 공공 대면 응용 프로그램 악용 (T1190)

무료로 Threat Detection Marketplace에 가입하여 90,000개 이상의 큐레이트된 SOC 콘텐츠 라이브러리를 이용하세요. 70개국 이상의 300명 이상 기여자가 매일 라이브러리를 풍요롭게 하여 보안 전문가들이 공격 라이프사이클의 초기 단계에서 가장 경고할 만한 사이버 위협을 탐지할 수 있도록 합니다. 위협 사냥 활동에 참여하고 자신만의 탐지 규칙을 개발하고 싶으신가요? for free to reach the 90,000+ curated SOC content library. Over 300 contributors from 70 countries enrich the library each day so that security performers might detect the most alarming cyber threats at the earliest stages of the attack lifecycle. Have a desire to participate in threat hunting activities and develop your own detection rules? 우리의 Threat Bounty 프로그램에 참여하여 귀하의 기여에 대해 보상을 받으세요.