1. 신규 취약점 코드명 : CVE-2019-2725

This Security Alert addresses CVE-2019-2725, a deserialization vulnerability in Oracle WebLogic Server.

This remote code execution vulnerability is remotely exploitable without authentication, i.e., may be exploited over

a network without the need for a username and password.

2. 취약점 상세 확인 내용

공격자가 이 취약점을 악용하면 특수하게 제작된 HTTP 요청을 보내, 인증 없이 원격으로 명령을 실행할 수 있다고 합니다.

취약점에 이용되는 모듈은 wls9_async_response.war 과 wls-wsat.war 이며 최근 버전들에는 기본적으로 활성화 되어 있다고 합니다.

오라클에서 제공하는 패치는 10.3.6.0 버전에 해당하는 것만 있기 때문에 이 버전을 제외한 10.x 버전들에는 다른 우회 방안으로 조치를 해야 합니다.

관련 url은 /_async/* 과  /wls-wsat/* 입니다.

(CNTA-2019-0015 에 따르면 WebLogic 10.x and WebLogic 12.1.3에 모두 영향이 있다고 하네요.)

3. 취약대상 확인 방법

서비스하는 url 에 다음의 uri 를 붙여서 호출해보시면 됩니다. "/_async/AsyncResponseService", "/wls-wsat/CoordinatorPortType"

 ex1) http://123.456.78.9:8080/_async/AsyncResponseService

 >> 화면 출력 내용 (아래와 같은 내용의 페이지가 출력되면 모듈이 enable 된 상태입니다.)

Welcome to the {http://www.bea.com/async/AsyncResponseService}AsyncResponseService home page

Test page

WSDL page

4. 취약점 조치 방법

 1) 오라클에서 제공하는 패치 적용하는 방법

     : 이미 4월 초에 패치가 한번 나와서 해당 취약점 패치된 패치버전은 적어도 2달은 기다려야 할 것 같다고 하네요.

 2) 우회 방법

 -. 관련 모듈인 wls9_async_response.war, wls-wsat.war 삭제 후 WebLogic 재기동
 -. 다음의 패턴에 대해 접근 제한 : /_async/*, /wls-wsat/*