Customer Alert 20200608 - Waratek
보안 연구원은 Apache Tomcat의 역 직렬화 취약점 (CVE-2020-9484)의 새로운 RCE에 대한 PoC 및 세부 정보 발표.
Waratek 고객은 기본 규칙에 의해 보호됩니다.
배경
새로롭게 개념 증명이 된 exploit이 GitHub에서 릴리스되었으며 Apache Tomcat 서버를 공격하는데 사용되고 있습니다. 2020 년 4월 12일 pdd 보안 연구에서 Apache Tomcat Security에 대한 보고서에 의하여 취약점에 대한 새로운 기술 세부 사항 및 익스플로잇 작동 방식에 대해 Red Timmy Security에 의해 발표되었습니다.
논점
CVE-2020-9484는 원격 코드 실행으로 이어질 수 있는 Apache Tomcat의 중요한 역 직렬화 결함입니다.
이 취약점은 다음 조건이 충족 될 때만 나타납니다 :
- 공격자는 서버의 내용과 파일 이름을 제어 할 수 있습니다.
- PersistenceManager는 FileStore로 활성화되고 구성됨.
- PersistenceManager는 다음과 같이 구성됨. sessionAttributeValueClassNameFilter=”null” (SecurityManager가하지 않는 한 기본값이 사용됩니다) or a sufficiently lax filter.
- 공격자는 FileStore에서 사용하는 저장 위치에서 공격자가 제어 할 수있는 파일까지의 상대 파일 경로를 알고 있으 경우.
- 클래스 경로에 가젯 체인을 구성하여 Java 역 직렬화 공격을 수행하는 데 사용할 수있는 알려 지거나 알려지지 않은 가젯이 있을 경우.
기본 Tomcat 설정은 영향을받지 않습니다. 영향을 받으려면 server.xml에서 다음과 같이 설정이 필요합니다.
<Manager className="org.apache.catalina.session.PersistentManager"> <Store className="org.apache.catalina.session.FileStore" directory="DIRECTORY"/> </Manager>
이러한 조건이 충족되면 공격자는 JSESSIONID 쿠키와 함께 특수하게 조작 된 HTTP 요청을 전송하여 역 직렬화를 통해 원격 코드 실행을 트리거 할 수 있습니다.
악의적으로 제작 된 직렬화 된 gadget 체인을 사용하여 공격자는 영향을 받는 응용 프로그램의 context에서 임의 코드 (원격 코드 실행 – RCE)를 실행할 수 있습니다. 공격이 성공하면 공격자는 랜섬웨어 배포를 포함하여 시스템을 완전히 손상시킬 수 있습니다. 공격이 실패하면 서비스 거부 조건이 발생할 수도 있습니다. 이 취약점은 CVSSv3 규모에서 10 점 만점에 7.0 점을 받았습니다.
Apache 팀의 수정에 따르면 결함은 역 직렬화 된 파일 경로의 올바른 입력 유효성 검증이 누락 된 FileStore 클래스에 있습니다.
Products Affected
▶ Apache Tomcat 10.x < 10.0.0-M5
▶ Apache Tomcat 9.x < 9.0.35
▶ Apache Tomcat 8.x < 8.5.55
▶ Apache Tomcat 7.x < 7.0.104
Unaffected Versions
▶ Apache Tomcat 10.x >= 10.0.0-M5
▶ Apache Tomcat 9.x >= 9.0.35
▶ Apache Tomcat 8.x >= 8.5.55
▶ Apache Tomcat 7.x >= 7.0.104
References
▶ https://www.redtimmy.com/java-hacking/apache-tomcat-rce-bydeserialization-cve-2020-9484-write-up-and-exploit/
▶ https://nvd.nist.gov/vuln/detail/CVE-2020-9484
▶ https://github.com/masahiro331/CVE-2020-9484
Action Steps
Waratek Secure 및 Waratek Upgrade 고객은 이미 Waratek 응용 프로그램 보안 플랫폼의 기본 보호 기능 인 deserial / marshal 규칙으로 보호되어 있습니다. Waratek Patch, Secure 및 Upgrade에서 제공되는 Waratek의 프로세스 분기 규칙도 공격을 완화합니다. Waratek Secure 규칙은 구성이 없고 소스 코드 변경 없이 알려진 제로-데이 공격에 대한 보호 기능을 제공합니다.
Waratek의 즉시 사용 가능한 제로 데이 보호 기능은 최신 버전으로 패치 된 Apache Tomcat 버전을 보호 할뿐만 아니라 기존의 단종 된 Tomcat 릴리스도 보호합니다.
Waratek 이외의 고객은 다음을 권장합니다:
1. 가능한 빨리 패치 된 최신 Tomcat 버전으로 업그레이드.
2. 성공적인 공격을 확인 할 수있는 HTTP 500 오류가 있는지 Apache Tomcat 로그를 모니터링.
3. 환경에 적합한 정규식으로 sessionAttributeValueClassNameFilter를 설정.
4. JEP-290 글로벌 직렬화 블랙리스트 구성 (알려지고 위험한 가제트 포함)
Waratek이 역직렬화 공격으로 부터 특히 다운 타임, 소스 코드 또는 설정 변경, 정규식 또는 블랙리스트 없이 CVE-2020-9484에 대해 제로-데이 보호를 제공하는 방법에 대한 자세한 내용은 Waratek 담당자 또는 파트너에게 문의하거나 데모를 요청하세요.
About Waratek
세계 유수의 기업 중 일부는 Waratek의 ARMR 보안 플랫폼을 사용하여 업무 핵심 응용 프로그램을 패치, 보안 및 업그레이드합니다. 차세대 응용 프로그램 보안 솔루션의 개척자 인 Waratek을 사용하면 보안 팀이 다운 타임 없이 알려진 취약점을 즉시 감지 및 해결하고 알려진 및 제로 데이 공격으로부터 응용 프로그램을 보호하며 지원되지 않는 Java 응용 프로그램을 사실상 업그레이드 할 수 있습니다. 시간이 많이 걸리고 값 비싼 소스 코드 변경이나 용납 할 수 없는 성능 오버 헤드 없이 모두 가능합니다.
Waratek은 사이버 보안 혁신 상 (Cybersecurity Breakthrough Award)의 "2019 올해의 웹 보안 솔루션"으로 선정, RSA Innovation Sandbox Award에서 우승자였으며, 12 개 이상의 다른 상과 표창을 수상했습니다. 자세한 정보는 www.waratek.com을 방문하십시오.
Maxtive 맥스티브 - 와라텍,헤임달,아크로니스,어플리케이션 보안,RASP
어플리케이션 가상 패치, 가상 업그레이드를 통한 운영 효율성을 제공하는 와라텍 SQL데이터 라우팅,DB 마이그레이션,SQL분석 및 최적화 솔루션 헤임달 클라우드 컴퓨팅, 백업, 파일공유 솔루션 ��
maxtive.co.kr
'와라텍 > 와라텍 tech' 카테고리의 다른 글
| NameSpace Layout Randomization (NSLR) : 네임스페이스 레이아웃 무작위 화. (0) | 2020.07.13 |
|---|---|
| Waratek의 Java14 지원 및 .NET 지원 개선 버전 릴리즈 (0) | 2020.07.13 |
| [Updated] 새로운 WebLogic 제로 데이 RCE 취약점 (0) | 2020.04.17 |
| 자바 역 직렬화(Java Deserialization) 문제 (0) | 2020.03.23 |
| 직렬화는 끝났다! 그러나 끝나지 않았다! (0) | 2020.03.22 |