이번 글에서는 심각한 원격코드 취약점 중 하나인 Oracle(오라클)의 웹로직 서버(WebLogic Server)의 최신 취약점에 대해 다뤄보려고 한다. 오라클이 개발한 자바 웹 애플리케이션 서버인 웹로직 서버를 겨냥하는 CVE-2023-21839는 원격 코드 실행(Remote code execution)에 악용될 수 있는 취약점으로 약 3개월 전 처음으로 언급되었다. 데이터베이스 관리 시스템 및 관련 하드웨어, 소프트웨어, 클라우드 시스템을 개발, 제공하는 글로벌 서비스인 만큼 기업, 정부 기관 같은 대규모 고객사들의 피해가 컸다.  

이미 크게 이슈가 되었던 오라클 웹로직 서버 취약점

2020년 10월, 베트남의 한 보안 연구원이 웹로직 서버 제품에서 취약점을 발견하였고 공격이 얼마나 쉬운 지를 상세한 기술 정보를 공개하였다. 다양한 매체에서 해당 취약점 CVE-2020-14882를 언급하며 보도했고 오라클은 공식적으로 치명적인 웹로직 서버 취약점 발견을 인정하며 패치를 개발했다. 반면, 오히려 패치 이후로 활발한 익스플로잇 공격이 급증하였다.

Oracle 웹 로직 원격코드 취약점
당시 오라클의 긴급 보안 패치 공식 발표

오라클은 취약한 웹로직 소프트웨어에서 인증 프로세스를 거치지 않고도 피해자의 서버에서 임의의 코드를 실행 할 수 있다며 가능한 한 빨리 패치를 적용 할 것을 권장했다. 보안 업데이트 패치가 배포되고 2년 반이 지난 현재, 아직도 Oracle 웹로직 서버 취약점을 보유한 서버가 있는지 위협 인텔리전스 검색엔진 Criminal IP로 확인해 보았다. 

Search Query: cve_id : CVE-2020-14882

CVE-2020-14882 취약점에 노출된 서버를 검색한 결과
CVE-2020-14882 취약점에 노출된 서버를 검색한 결과

Asset Search에서 취약점 검색 만으로 IP별 국가 분포, Open port, Services, AS Names, Products 현황을 확인할 수 있고 이 정보를 통해 보안 정책에 위배되는 오픈 포트, 취약한 IP 여부 등을 점검할 수 있다. 

오라클 웹로직에 대하여 

이번엔 특정 취약점이 아니라, Asset Search의 Product filter로 탐지되는 오라클 웹로직 서버를 사용하는 해당 IP 주소들에 대해 깊이 파헤쳐 보겠다. 

Search Query: product: Weblogic server

오라클 웹로직 서버를 이용하는 IP 주소 검색 결과
오라클 웹로직 서버를 이용하는 IP 주소 검색 결과
오라클 웹로직 서버를 이용하는 국가 통계

오라클의 주 고객 국가인 미국, 중국, 일본이 자연스럽게 상위 1,2,3을 차지하였다. 물론 웹로직 서버를 사용하는 국가 현황이 오라클 원격 코드 실행 취약점에 노출된 국가 현황과 동일하지는 않는다. 예를 들어, 세 번째로 가장 많이 웹로직 서버를 사용하는 일본은 상단에서 보여진 취약점에 노출된 국가 그래프에서 제외된 것을 확인할 수 있다. 이는 사이버 보안 강화, 정기 점검, 패치 적용을 통해 민감한 정보 유출 또는 기업, 정부 기관 같은 대규모 고객사들의 피해 줄이기에 노력하는 것으로 해석될 수 있을 것이다. 

오라클 웹로직 서버 사용 포트 통계
오라클 웹로직 서버 사용 포트 통계

대부분의 웹 사이트는 Port 443과 Port 80을 이용하여 보안 연결 설정, 데이터 암호화 또는 필요한 웹 서버에 연결한다. Port 8000와 Port 8080은 사용자 지정에 따라 특정 애플리케이션 또는 개발 및 테스트 목적으로 자주 사용된다. 

여기서 주목 해야 할 Port는 주로 웹 로직 서버에 의해 사용되는 Port 7001이다. 2018년에 CVE-2018-2628 (자바 역직렬화 취약점을 이용한 원격 코드 실행)이라는 심각한 취약점이 발견되었지만, 빠른 시일 내에 오라클은 패치를 만들지 못하였다. 패치 우회 가능성이 제기됨에 따라 임시 대응 방안으로 취약점에 영향 받는 서비스 포트(7001번)에 대해 승인된 시스템 및 관리자만 접근할 수 있도록 방화벽 등을 통한 접근 통제가 필요하다고 권고하기도 했었다. 

오라클 웹 로직 원격 코드 실행 공격 예방 체크리스트 및 취약점 조치 방법

  1. 최신 버전의 웹로직 어플리케이션 사용:
    • 최신 버전의 웹로직 어플리케이션을 사용하여 취약점이 해결된 보안 패치를 적용한다.
    • 오라클의 공식 사이트를 통해 보안 패치 및 업데이트를 확인하고 적용한다.
  2. 외부 액세스 제한:
    • 웹로직 서버에 대한 외부 액세스를 차단한다.
    • 액세스 권한을 최소한으로 제한하여 필요한 사용자만 접근할 수 있도록 설정한다.
    • 사용자 인증 및 권한 부여 기능을 활용하여 안전한 접근을 관리한다.
  3. 웹 방화벽 설정:
    • 웹로직 서버 앞 단에 웹 방화벽을 설치하여 악성 트래픽을 차단한다.
    • 웹 방화벽 설정을 통해 웹로직 서버로 들어오는 요청을 검사하고, 잠재적인 악성 행위를 차단한다.
  4. 웹로직 모니터링:
    • 웹로직 로그를 실시간으로 모니터링하여 알 수 없는 액세스나 악성 행위를 감지한다.
    • 이상 행위를 감지하면 대응 방안을 마련하여 신속하게 대응한다.

위의 체크리스트와 방법들을 따르면 오라클 웹로직의 원격 코드 실행 공격에 대비할 수 있고, Criminal IP 검색엔진을 통하여 인터넷에서 공개된 취약점 데이터베이스를 모니터링 하며 사전에 예방할 수 있다.

이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다. [Criminal IP 유료화 서비스 안내 ]

데이터 출처 : Criminal IP(https://www.criminalip.io/ko)

관련 글 :

OSINT로 Citrix 취약점 탐지 : CVE-2022-27510, CVE-2022-27518