[공지] [긴급][WLS 10.3.6, 12.1.3, 12.2.1.1, 12.2.2] WebLogic 보안 취약점(CVE-2017-10271)

오라클 웹로직 11g 이상 제품의 원격 명령 실행 취약점(CVE-2017-10271)을 악용하여 비트 코인 채굴 악성코드 감염이 확산되고 있어 긴급한 예방 조치가 권고됨.

위 취약점에 노출될 경우, Unix 서버 및 Windows 서버에 비트코인을 채굴하는 프로그램이 강제로 실행되며, CPU가 무리하게 과점유되는 현상이 발생할 수 있음.

1. 증상
 
- Unix 서버와 Windows 서버에 각각 아래와 유사한 프로세스가 실행되어, 비트 코인 채굴로 인한 CPU 과점유 현상이 발생.
 
<Unix 서버 예시>
/app/wls /domains/base_domain/lsearch -o stratum+tcp://pool.minexmr.com:80 -u 4AQe5sAFWZKECiaeNTt59LG7kVtqRoSRJMjrmQ6GiMFAeUvoL3MFeTE6zwwHkFPrAyNw2JHDxUSWL82RiZThPpk4SEg7Vqe.search -p x
 
<Windows 서버 예시 - powershell, cmd 창으로 명령줄 실행>
C:\windows\syswow64\windowspowershell\v1.0\powershell.exe 
C:\windows\Temp\auto-upgrade.exe
 
<V3 백신 프로그램의 탐지명>
    - Trojan/Win32.BitcoinMiner.R212652
    - Malware/MDP.Download.M1197
 
 
2. 조치 방법
 
(1) 웹로직 10.3.6, 12.1.3, 12.2.1.1, 12.2.1.2 서버들은 PSU 171017 적용을 권고. (현재는 릴리즈 된 최신 패치이나, PSU 1801XX 패치가 곧 릴리즈 될 예정이므로, 확인 후 최신 패치 적용 권장) 

(2) 웹로직 11g 제품 중 10.3.5 이하 버전은 10.3.6으로 업그레이드 이후, (1)번 패치 적용을 권고.
 
(3) (1), (2) 적용이 어려운 경우, 웹방화벽에서 아래 URL을 차단할 것을 권고. 
- 차단 URL : /wls-wsat/CoordinatorPortType
 
(4) 웹서비스를 사용하지 않을 경우, java option으로 해당 내부 배포 war에 대한 disable 적용.
- -Dweblogic.wsee.wstx.wsat.deployed=false
- 해당 옵션은 10.3.3 이상에서 존재.
 
(5) 웹서비스를 사용하지 않을 경우, 수작업으로 해당 war 삭제.
$ rm -rf $ORACLE_HOME/oracle_common/modules/com.oracle.webservices.wls.wsat-endpoints-impl_12.1.3.war
$ rm -rf $DOMAIN_HOME/servers/$SERVER_NAME/tmp/.internal/com.oracle.webservices.wls.wsat-endpoints-impl_12.1.3.war
$ rm -rf $DOMAIN_HOME/servers/$SERVER_NAME/tmp/_WL_internal/com.oracle.webservices.wls.wsat-endpoints-impl_12.1.3
OR 
$ rm -rf $ORACLE_HOME/wlserver_10.3/server/lib/wls-wsat.war
$ rm -rf $DOMAIN_HOME/servers/AdminServer/tmp/_WL_internal/wls-wsat
$ rm -rf $DOMAIN_HOME/servers/AdminServer/tmp/.internal/wls-wsat.war