Home > 전체기사
오라클의 웹로직 서버 취약점, 패치 1주일 만에 공격 시작
  |  입력 : 2020-10-30 09:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
1주일 전에 패치된 웹로직 서버의 취약점, 베트남 연구원이 상세히 공개
그 후 실제 공격 위한 스캔 시작돼...웹로직 서버 사용자들은 서둘러 패치해야


[보안뉴스 문가용 기자] 오라클(Oracle)의 웹로직 서버(WebLogic Server) 제품에서 발견된 취약점이 패치되고 1주일이 지난 시점인 현재 활발한 익스플로잇이 시작되었다는 경고가 나왔다. 이 취약점은 CVE-2020-14882로 치명적인 위험도를 가진 것으로 분류됐다. 성공적인 익스플로잇을 통해 공격자는 인증 과정을 우회해 임의 코드를 실행할 수 있게 된다.

[이미지 = utoimage]


이 취약점을 제일 먼저 오라클에 알린 건 중국 차이틴 시큐리티 리서치 랩(Chaitin Security Research Lab)의 보안 전문가다. 그러나 수요일 장(Jang)이라는 이름을 가진 베트남의 한 연구원이 자신의 블로그를 통해 이 취약점에 대한 상세한 기술 정보를 베트남어로 공개했다. 또한 익스플로잇이 얼마나 쉬운지도 보여주었다고 한다.

그러고 나서 1주일이 지난 이번 주 수요일 SANS 테크놀로지 인스티튜트(SANS Technology Institute)가 “허니팟에서 CVE-2020-14882에 대한 익스플로잇 시도가 발견됐다”고 발표했다. 이곳의 요하네스 울리히(Johannes B. Ullrich)는 “지난 주 베트남 연구원이 공개한 개념증명용 익스플로잇을 바탕으로 이뤄진 공격으로 보인다”고 말했다.

울리히는 “다행히 이번에 허니팟에서 발견된 공격은 해당 취약점이 존재하는지, 허니팟의 서버가 취약한지 아닌지 알아보는 선에서 그쳤다”고 말했다. “하지만 이는 보다 본격적인 공격이 있기 전의 전초일 뿐입니다. 이미 웹로직 서버의 취약점을 보다 집중적으로 익스플로잇 하는 시도는 다른 곳에서 일어나고 있을 가능성이 높습니다.”

SANS가 발견한 공격의 경우 4개의 IP주소로부터 왔다고 한다. 국가별로 분석했을 때 근원지는 중국, 미국, 몰도바였다. “스캔 행위 자체는 지금 서서히 줄어들고 있는 상태입니다. 하지만 충분한 시점을 지난 상태입니다. 즉 여전히 취약한 채로 남아 있는 서버들 대부분 스캔을 통해 노출되었다는 겁니다. 이제부터 공격이 시작될 것입니다.”

오라클의 웹로직 서버의 취약점들은 공격자들 사이에서 항상 인기가 높았다. 금전적인 목적으로 공격을 하는 사이버 범죄자들이나, 국가의 지원을 받는 APT 단체들이나 모두 마찬가지였다. 여기서 나오는 취약점들은 패치가 나온 이후에도 계속해서 익스플로잇 되었다. 따라서 오라클 사용자들에게는 패치의 즉각적인 적용이 권장된다.

이번 패치 발표 이후 오라클은 고객들에게 치명적인 웹로직 서버 취약점이 발견됐다고 알리며, “실제 공격에 활용되고 있으니 최대한 빠른 시간 안에 패치하라”고 권고했다.

3줄 요약
1. 웹로직 서버에서 원격 코드 실행 취약점 발견돼 지난 주 패치됨.
2. 1주일이 지난 시점부터 실제 공격자들의 스캔이 시작됨.
3. 스캔도 이제는 할 만큼 한 시점. 본격적인 공격이 시작될 것으로 예상됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 한해 동안 가장 큰 관심을 갖고 있는 보안 분야는 무엇인가요?
인공지능(AI) 보안
비대면(언택트) 보안
데이터3법/개인정보보호
빅데이터 보안
클라우드 보안
자율주행차 보안
사물인터넷 보안
스마트시티 보안
기타(댓글로)