nvd.nist.gov/vuln/detail/CVE-2021-2109
NVD - CVE-2021-2109
CVE-2021-2109 Detail Current Description Vulnerability in the Oracle WebLogic Server product of Oracle Fusion Middleware (component: Console). Supported versions that are affected are 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 and 14.1.1.0.0. Easily ex
nvd.nist.gov
취약점 정보
CVE-2021-2109
Oracle Fusion Middleware Console의 Oracle WebLogic Server 제품에JNDI Injection을 통한 원격 코드 실행(RCE) 취약점이 존재한다.
|
JNDI(Java Naming and Directory Interface) : 자바 애플리케이션에서 외부 디렉터리 서비스에 접근하기 위한 API로, 원격 서버의 객체를 bind 해 애플리케이션에서 접근할 수 있다. |
|
RCE(Remote Code Execution): 임의코드실행, 조작된 웹페이지나 이미지 파일을 보는 것만으로도 외부에서 전송된 코드가 실행되는 취약점을 의미한다. |
Oracle WebLogic Server는 현재 Oracle Corporation에서 개발한 Java EE 애플리케이션 서버이다.
해당 취약점은 HTTP를 통한 네트워크 액세스 권한이있는 공격자가 Oracle WebLogic Server를 손상시킬 수 있다.
- 일반적으로 안티 바이러스 소프트웨어는 악성 파일의 시그니처를 탐지해 이를 차단하거나 파일 자체를 삭제해 피해를 막는다. 이와 달리 파일리스 공격은 정상적인 소프트웨어나 운영체제에 내장된 도구를 통해 악성 스크립트를 실행하는 방식으로 이뤄진다.
- 기존 멀웨어와 달리 저장장치(HDD 등)에 직접적인 흔적을 남기지 않으며, 메모리(RAM)에서 악성 행위가 실행되기 때문에 상대적으로 탐지 및 차단이 어렵다. 이 때문에 인 메모리 악성코드(In-Memory Malware)라는 이름으로 불리며, 휘발성 저장장치인 RAM의 특성상 전원을 끄면 기록이 사라지기 때문에 어떤 악성 행위를 했는지 파악하기도 어렵다.
com.bea.console.handles.JndiBindingHandle에서 인자 값을 제대로 검사하지 않아서 발생하였다.
이를 통해 공격자는 해당 인자 값에 원하는 URL 경로를 작성하여 GET 요청을 통해 임의의 코드를 실행시킬 수 있다.
'Security > 보안뉴스요약' 카테고리의 다른 글
| [210210] 사용자의 눈을 피해 침투한다, 파일리스 공격 (279) | 2021.02.10 |
|---|---|
| [210203] 에이전트 테슬라, 최근 업그레이드 돼 나타나다 (307) | 2021.02.03 |
| [210201] 코로나와 함께 디도스 공격도 새로운 전성기 (298) | 2021.02.01 |
| [210131] 동적으로 피싱 사이트를 생성하는 툴 발견, LogoKit (297) | 2021.02.01 |
| [210128] OT 네트워크의 핵심 요소인 OPC 프로토콜에서 취약점 다수 나와 (283) | 2021.01.28 |