소프트웨어 전문 컨설팅 및 기술지원 전문

Miter Corporation은 Spring4Shell이라는 취약점을 포함하여 Java Spring Framework에 대한 세 가지 취약점을 발표했습니다. (Miter Corporation은 항공, 국방, 의료, 국토 안보 및 사이버 보안 분야의 다양한 미국 정부 기관을 지원하는 비영리 단체)

아시겠지만 Spring은 개발자의 60%가 주요 애플리케이션에 사용하는 Java 생태계를 지배하고 있습니다.
기존 와라텍을 적용해 애플리케이션을 운영하고 있는 고객은 치명적인 취약점(CVE-2022-22965) 및 (CVE-2022-22963)에 대해 프로덕션 환경 전반에 결쳐 이미 보호 되고 있는것이 제로 데이 프로세스 규칙을 활성화한 결과 확인 되었습니다. 
(CVE-2022-22950)의 경우 Waratek ARMR 가상 패치가 곧 제공될 예정입니다.

Summary:

1. CVE-2022-22965 a.k.a일명 Spring4Shell - Critical | Waratek 제로데이 제어 시행중
2. CVE-2022-22963 - Critical | Waratek 제로 데이 제어 시행 중
3. CVE-2022-22950 - Medium | Waratek ARMR 패치 임박

와라텍 소개

세계 유수의 대기업 중 일부는 Waratek의 ARMR 보안 플랫폼을 사용하여 미션 크리티컬 애플리케이션을 패치, 보안 및 업그레이드합니다. 차세대 애플리케이션 보안 솔루션의 선구자인 Waratek은 다운타임 없이 알려진 취약점을 즉시 감지 및 수정하고 알려진 제로 데이 공격으로부터 애플리케이션을 보호하며 지원되지 않는 Java 애플리케이션을 가상으로 업그레이드할 수 있도록 합니다. 시간을 소모하고 값비싼 소스 코드 변경이나 허용할 수 없는 성능 오버헤드 없이 모두 가상 패치와 가상 업그레이드를 적용할 수 있도록 합니다.

Waratek은 Cybersecurity Breakthrough Award의 2019년 올해의 전체 보안 솔루션이며 
이전엔 RSA Innovation Sandbox Award를 수상했으며 12개 이상의 다른 상과 인정을 받았습니다.

와라텍 문의 하기

"Apache Log4j CVE-2019-17571 RCE 취약점은 공격자가 원격으로 악용할 수 있습니다. Waratek은 기본 규칙으로 해당 취약점으로 부터 애플리케이션을 보호합니다."

Apache Foundation은 인기 있는 Log4j 라이브러리의 여러 버전에 있는 SocketServer 구성 요소의 원격 코드 실행(RCE) 결함인 CVE-2019-17571 을 발표했습니다 . 이 문제를 악용하는데 성공하면 공격자가 영향을 받는 응용 프로그램의 컨텍스트에서 임의 코드를 실행할 수 있습니다. 익스플로잇에 실패하면 서비스 거부 상태가 됩니다.

Technologies Affected

• Apache Log4j 1.2
• Apache Log4j 1.2.13
• Apache Log4j 1.2.17
• Apache Log4j 1.2.6
• Apache Log4j 1.2.7
• Apache Log4j 1.2.8
• Apache Log4j 1.2.9
• Redhat JBoss Enterprise Application Platform 5.0

Log4j 2.x에서 발견된 유사한 결함이 CVE-2017-5645 로 지정되었습니다 .

References

• https://lists.apache.org
• https://bugzilla.redhat.com

Action Steps

Waratek Secure 및 Waratek Enterprise를 적용하고 있다면 이미 Waratek 애플리케이션 보안 플랫폼의 표준 보호 정책인 deserial/marshal 규칙에 의해 보호되고 있습니다. Waratek 규칙은 구성 및 소스 코드 변경 없이 알려진 제로 데이 공격으로부터 보호합니다. Waratek의 즉시 사용 가능한 제로 데이 보호 기능은 Apache 지원 Log4j 2.x 버전을 보호할 뿐만 아니라 Apache 수명 종료 Log4j 1.2.x 릴리스 라인도 보호합니다.

Waratek이 아닌 고객은 취약한 소프트웨어 버전을 업그레이드하는 것이 좋습니다. 1.2.x 브랜치는 단종 업스트림이며 Apache에서 이 문제에 대한 수정 사항을 받지 않습니다 . 사용자는 가능한 한 빨리 Log4j 2.x로 업그레이드해야 합니다.

와라텍 소개

세계 유수의 대기업 중 일부는 Waratek의 ARMR 보안 플랫폼을 사용하여 미션 크리티컬 애플리케이션을 패치, 보안 및 업그레이드합니다. 차세대 애플리케이션 보안 솔루션의 선구자인 Waratek은 다운타임 없이 알려진 취약점을 즉시 감지 및 수정하고 알려진 제로 데이 공격으로부터 애플리케이션을 보호하며 지원되지 않는 Java 애플리케이션을 가상으로 업그레이드할 수 있도록 합니다. 시간을 소모하고 값비싼 소스 코드 변경이나 허용할 수 없는 성능 오버헤드 없이 모두 가상 패치와 가상 업그레이드를 적용할 수 있도록 합니다.

Waratek은 Cybersecurity Breakthrough Award의 2019년 올해의 전체 보안 솔루션이며 
이전엔 RSA Innovation Sandbox Award를 수상했으며 12개 이상의 다른 상과 인정을 받았습니다.

와라텍 문의 하기

이번 달과 다음 달에는 와라텍(Waratek) 설립자 겸 최고 CTO인 존 매튜 홀트(John Matthew Holt)가 2021년 OWASP Top10 웹 애플리케이션 위험 목록의 변경 사항에 대해 말씀 드리고자 합니다. 금주의 촛점은 9위 였던 취약점이 6위로 올라선 것입니다. 

Q : 2021 OWASP Top10에서 이전 보다 가장 중요한 변경 사항은 무엇인가요?

JMT : 2017 목록에는 인젝션과 관련된 10가지 범주 중 2가지가 있었습니다. 인시던트(발생사고)를 기준으로 측정하는 경우 다양한 타입의 취약점의 수가 바뀌는 상황이 존재 했습니다. 이해는 되지만 전략적인 관점에서 실제로 도움이 되지 않습니다. 2017년 순위에서는 그런 부분이 잘 잡히지 않았습니다. 
17년과 21년 사이에 랭킹에서 일어난 변화는 맨탈리티 즉, 익스폴라잇(해킹행위) 가능성에 대해 생각하는 것으로 옮겨 갔다는 것입니다.
공격 가능성이 높고 영향이 큰 취약점만 해결하고 다른 문제는 해결하지 않으면 당장은 편할지도 모릅니다. 공격 가능성에 상관없이 상위권에 위치한 취약점에 대해서만 신경쓰고 해결하고자 하는 경우이지요.

Q : 이전 9번 이었던 6번으로(오래된 컴포넌트로 인한 취약성) 순위가 바뀌었는데요. 취약점을 가지고 있는 오래된 컴포넌트를 사용하는 것이 광범위한 영향을 미치는 것으로 판단했기 때문으로 보입니다. 이유를 설명해 주시겠어요?

JMT : 취약점을 가지고 있는 오래된 컴포넌트의 범주는 서드파티 구성 요소를 캡처하는 것입니다. 지난 10여 년 동안 서드 파티 구성 요소가 비즈니스 로직 코드에서 사용 되는 비율이 서드 파티 사용에 점점 유리하게 증가해 왔다는 것입니다. 여기에 보안적으로 불리한 요소가 숨어 있는 것입니다.
취약점에 대해 알고 있는 해커들은 애플리케이션 공급망의 일부에서 취약하고 오래된 소프트웨어 구성 요소의 취약점을 찾아내 수익 창출(?)을 하고 있습니다. 취약점을 가진 오래된 컴포넌트가 6번째로 올라 선 것은 우리가 현재 경험하고 있는 사례가 늘어가고 있다는 것을 보여주는 것이며 주체적으로 해당 요소들을 판단할 필요가 있습니다.

Q : 취약점을 가진 컴포넌트를 수정하는데 있어서 제약 사항이 있다면 무엇일까요?

JMT : 취약점을 가진 오래된 컴포넌트를 취급하는 다양한 개발자 도구가 있습니다. 예를 들면 소프트웨어 컴포지션 분석(SCA) 도구와 같은 것들은 모두 개발자 지향적입니다. 컴포넌트 하나가 취약점을 가지고 있는 것이 확인 되더라도 해당 컴포넌트를 제거하고 다른 99개의 컴포넌트가 있는 애플리케이션에서 작업 후 원활하게 작동할 것으로 기대할 수 없을 것입니다.
취약점을 수정한 새 버전의 컴포넌트 에는 호환성을 깨는 의도하지 않은 변경 사항이 있을 수 있으므로 동작하지 않을 수 있습니다. 이 문제에 대처할 수 있는 도구나 방법도 없습니다. SCA가 평소에는 별다른 문제가 없지만 그렇지 않은 경우 점점 상황은 악화 될 수 있고 규모에 맞게 안정적으로 작동하기 어렵게 됩니다. 취약점을 가진 컴포넌트라는 요소에 갇히게 되면 보안적으로 무력해질 수 밖에 없는 구조입니다.

Q : OWASP Top10 목록에 변화를 주면 취약한 컴포넌트 문제를 해결하는데 도움이 되나요?

JMT : 방향성을 설정하는데 도움이 될 수 있습니다. 보안 요소에서 무엇을 우선 순위에 두고 개발 방향을 잡아야 하는지 설정하게 될것입니다. 보안 실무자들도 신경 써야 할 부분에 대한 집중력을 높이는 데에도 도움이 된다고 생각합니다. 또한 와라텍(Waratek)과 같은 기술을 가진 기업의 경우에도 위험을 제거하고 해결하는 측면에서 고객에게 효율과 효과를 동시게 제공할 수 있는 방법을 찾을 수 있습니다. 앞으로 악용 가능성이 높고 양향을 미치는 취약점등에 더욱 집중해야 할 것입니다.

즉각적인 가상 패치를 통하여 다운 타임 없이 보안 패치를 적용해 작업 효율을 높이고, 애플리케이션의 별다른 설정 없이 보안 규칙을 추가하고, 소스코드 변경 없이 레거시 자바 애플리케이션의 업그레이드를 제공합니다. OWASP에 대한 완벽한 대처는 와라텍을 통해 해결할 수 있습니다. 

와라텍 바로가기 클릭!

2021년 7월 Oracle CPU(Critical Patch Update)에는 26개 제품군에서 342개의 패치가 포함되어 있으며, 이는 4월 업데이트에 비해 CVE의 패치가 약간(13%) 감소한 수치입니다. 
업데이트에서 패치된 제품군 중 23개에는 사용자 자격 증명 없이 원격으로 실행할 수 있는 취약성이 포함되어 있습니다. 
16개 제품군에 CVSS 등급이 9.8 이상인 결함이 있으며, 여기에는 10.0점인 제품도 포함됩니다. 
이 취약점 중 8개는 불안정한 역직렬화 공격으로 이어질 수 있습니다. 

분기마다 아래 차트에서 볼 수 있는 것과 동일한 연속성이 나타납니다. 여기에는 동일한 유형의 취약점이 있으며, 반복적으로 원격으로 악용될 수 있는 취약점이 많이 있습니다. 솔루션 도입 후 제품에서 몇 번이고 반복됩니다.

저는 그것이 정말 중요한 메시지라고 생각합니다. 우리가 어떤 증거도 발견하지 못했다는 사실, 그리고 실제로 이러한 원격의 악용 가능한 취약점들이 시간이 지날수록 줄어들고 있다는 증거는 없습니다.

이 CPU는 가장 중요한 애플리케이션의 핵심인 third-party 서플라이 체인 구성 요소에 사전 예방적 보안을 제공하는 새로운 제품과 솔루션이 필요함을 알려줍니다.  
정적 애플리케이션 보안 테스트, 동적 보안 테스트 및 DevSecOps와 같은 대규모 애플리케이션 보안 툴은 서플라이 체인 문제에 아무런 가치도 부여하지 않습니다. 
서플라이 체인의 특성은 우리가 일반적으로 작성하지 않거나 제어할 수 없는 코드를 가져와 실행하는 것입니다. 그래서 이 CPU는 우리에게 이 문제를 해결하기 위한 새로운 제품, 새로운 솔루션이 필요하다고 말합니다.

• Oracle E-Business Suite에는 17개의 패치가 있습니다. CVE 중 3개는 원격으로 실행할 수 있습니다. 가장 높은 CVSS 점수는 9.1입니다.
• Oracle Fusion Middleware에는 48개의 패치가 있습니다. 35개의 CVE를 원격으로 실행할 수 있습니다. 2개는 CVSS 점수가 9.9이고 7개는 CVSS 점수가 9.8입니다.
• Oracle PeopleSoft에는 14개의 패치가 있습니다. 8개의 CVE를 원격으로 실행할 수 있습니다. 가장 높은 CVSS 점수는 9.8입니다.
• CVE를 처리하는 6개의 Java SE 패치가 있으며 그 중 5개는 원격으로 실행할 수 있습니다. 패치 중 3개는 Java SE 7u301까지 거슬러 올라가는 결함을 수정합니다. 
• 2021년 7월 중요 패치 업데이트에서 패치된 CVE가 현재 악용되고 있다는 징후는 없습니다.

Next Step

Waratek의 고객이 아니라면 업데이트된 바이너리 패치를 개발 및 테스트 환경에 수동으로 전파하기 위해 Oracle에서 권장하는 지침을 따라야 합니다.

Waratek 고객의 경우 훨씬 간단한 프로세스가 적용됩니다. 
Waratek 패치  및  Waratek 업그레이드 적용 고객은 Oracle CPU CVE를 처리하는 ARMR 가상 패치를 받게 됩니다. Waratek Secure  고객은 제로 튜닝 또는 구성으로 제로 데이 보호를 활성화하는 내장 CWE 완화를 활성화하기 위한 ARMR 정책 권장 사항을 받게 됩니다.

Waratek 은 다운타임이나 서비스 중단 없이 생산 애플리케이션을 즉시 보호할 수 있습니다. Waratek의 다양한 보안 에이전트로 애플리케이션은 5분 이내에 보호됩니다.

와라텍 문의 하기

패치된 제품의 83%가 자격 증명 없이 원격 실행 가능

2021년 4월 오라클 CPU(Critical Patch Update)에는 36개 제품군에서 390개의 패치가 포함되어 있으며, 이는 1분기 업데이트에 비해 CVE 패치가 거의 19% 증가한 수치입니다.
업데이트에 패치된 36개 제품군 중 83%는 사용자 자격 증명 없이 원격으로 실행할 수 있는 취약성을 포함하고 있습니다. 
18개 제품군은 CVSS 등급이 9.1 이상인 결함이 있으며, 여기에는 10.0점인 3개 제품이 포함됩니다.

기타 주요 사항은 다음과 같습니다.

• 패치된 취약점의 절반 이상(56%)은 사용자 자격 증명 없이 원격으로 실행될 수 있습니다.
• Oracle E-Business Suite에는 70개의 Oracle 패치와 1개의 타사 패치가 포함되어 있습니다. CVE 중 22개는 원격으로 실행할 수 있습니다. CVSS 최고 점수는 9.1점입니다.
• Oracle Fusion Middleware에는 45개의 패치가 있으며, 36개의 CVE는 원격으로 실행할 수 있습니다. 6개의 CVSS 점수는 9.8이며 원격으로 실행할 수 있습니다.
• Oracle PeopleSoft용 패치는 18개이며, CVE 중 13개는 원격으로 실행할 수 있습니다. CVSS 최고 점수는 8.3점입니다.원격으로 실행할 수 있는 CVE를 해결하는 4개의 Java SE 패치가 있습니다.
• 패치 중 두 개는 Java SE 7u291, 8u281, 11.0.10 및 16의 결함을 수정합니다. CVSS 최고 점수는 7.5점입니다.
• 2021년 4월 중요 패치 업데이트에서 패치된 CVE가 현재 활용되고 있다는 징후는 없습니다.

Next Steps

와라텍 고객이 아니라면 업데이트된 바이너리 패치를 개발 및 테스트 환경에 수동으로 전파하는 Oracle의 권장 지침을 따라야 합니다.
와라텍 고객은 Oracle CPU CVE를 해결하는 ARMR 가상 패치를 받게 됩니다.
Waratek Secure 고객은 별도의 튜닝 또는 구성변경을 사용하지 않고 제로 데이 보호를 활성화하는 내장 CPW 완화를 지원하기 위한 ARMR 정책 권장 사항을 받게 됩니다.
와라텍 고객은 다운타임이나 서비스 중단 없이 런타임 애플리케이션의 패치를 즉시 적용할 수 있으며 보안 에이전트를 통해 5분이내에 보호 받을 수 있습니다.

와라텍이란?

Waratek의 ARMR Security Platform은 미션 크리티컬 애플리케이션을 패치, 보호 및 업그레이드합니다. 
차세대 애플리케이션 보안 솔루션인 Waratek은 다운 타임없이 알려진 취약점을 즉시 감지 및 수정하고, 
알려진 제로 데이 공격으로부터 애플리케이션을 보호하고, 
지원되지 않는 Java 애플리케이션을 가상으로 업그레이드 할 수 있습니다. 
시간과 노력이 요구되는 소스 코드 변경이나 성능 오버 헤드없이 모두 가능합니다.

와라텍 바로가기(클릭!)

2020 년은 기록적인 수의 CVE로 끝났습니다.
글로벌 사이버 공격은 아직 까지 진행중에 있습니다. 

SolarWinds 공격은 여전히 풀리지 않는 의문이 많습니다.

세계적인 대기업 및 정부 기관, 기술을 선도하고 있는 수 많은 기업들에 대한 사이버 공격 소식이 알려진지 거의 두달이 지났습니다.
많은 수사관들은 SolarWinds라 언급되는 공격에 대한 치밀함과 광범위함을 계속해서 발견 중 입니다.
영향을 받은 조직 중 1/3이 유비쿼터스 소프트웨어의 고객이 아니라는 증거가 나타났습니다. Read more

2020은 기록적인 CVE가 추가된 한 해일 것입니다.

미국 국립 표준 기술 연구소의 NVD (National Vulnerability Database)는 4 년 연속으로 1 년 동안 추가 된 가장 많은 CVE에 대한 기록을 세웠습니다. 2020 년에 NIST가 추가 한 18,000 개 이상의 CVE는 2019 년에 비해 6 % 증가했으며 2016 년에 비해 무려 184 % 증가했습니다.

4분기 랜섬웨어 뉴스

2020년 4분기에 데이터 유출이 지속적으로 발생하고 유출된 데이터가 삭제되지 않고 제3자를 통해 활용될것이란 확신이 퍼져 있습니다. 더불어 피해자가 비용을 지불 했음에도 유출된 데이터를 확인했을 때 모든 정보가 삭제된 사례가 빈번해 지고 있습니다. 
그 결과 백업을 통해 복구 할 수 있는 경우 사이버 강탈에 굴복하지 않는 기업이 줄고 있는 추세입니다.
한가지 나쁜 소식은 패치되지 않은 취약성과 연관된 랜섬웨어 공격이 증가하는 추세라는 것입니다. Read more.

2021년 1분기 Oracle 중요 패치 업데이트

2021년 1월 Oracle Critical Patch Update(CPU)는 2020년 10월 릴리스보다 수정 횟수가 25% 적었습니다. CPU는 오라클 제품 포트폴리오 전반에 걸쳐 329개의 소프트웨어 패치를 포함했으며, 25개의 제품군 중 12개는 CVSS 등급이 9.8에 이르는 결함을 포함하고 있습니다. 대부분의 CVE는 사용자 자격 증명 없이 원격으로 이용할 수 있으며 매우 쉽게 취약점을 활용, 공격할 수 있습니다. 
와라텍의 CPU 분석을 읽어 보세요. Read more.

즉각적인 취약점 제거를 위해 와라텍을 적용 하세요.

와라텍 패치 & 시큐어는 아래와 같은 기능과 효과를 제공합니다.
- 물리적인 패치와 동일한 가상패치
- 중앙 콘솔을 통한 손쉬운 패치 적용
- 소스코드 수정 및 다운 타임 없는 패치 구현
- 보안 자동화 구현으로 높은 보안성 유지 및 비용절감 실현

와라텍을 통해 즉각적인 보안 컴플라이언스 기준을 준수할 수 있습니다. 
- 패치 배포 자동화 : 다운 타임 및 소스 코드 수정 없는 실시간 보안 패치 적용으로 보안 권고 사항 충족
- 보안 자동화 : 오탐 없는 침입탐지 및 차단을 동시 구현

와라텍에 관한 궁금하신 사항은 아래 링크를 클릭하세요.

2020년은 우리에게 알려진 취약점만 전년 대비 5% 증가했습니다. 

2016년 이 후 무려 183% 증가한 수치입니다. 소프트웨어 버그가 이렇게 증가한 이유는 무엇일까요?
해킹 공격에 성공하는 99%는 이러한 취약점을 기반으로 발생합니다. 
취약점은 곧 해커의 공격 성공율을 높여주고 있는 상황이라 이해할 수 있습니다. 

위 그래프는 시간 경과에 따른 취약점의 레벨 분포를 보여주고 있습니다. LOW, MEDIUM 및 HIGH는 CVSS V2기본 점수를 기반으로 합니다. 

전반적으로 알려진 취약점들이 확연한 증가 추세를 보이고 있으며 특히 HIGH와 MEDIUM 레벨의 취약점 증가가 눈에 띄게 높아지고 있습니다.

와라텍은 이러한 취약점을 실시간으로 제거하고 별도의 개발이나 취약점 제거를 위한 패치 작업을 필요로 하지 않습니다. 실시간으로 애플리케이션을 보호하며(RASP) 가상 패치로 애플리케이션의 취약점을 즉시 제거하고 제로데이 공격에 대한 대비도 가능합니다. 

RASP와 같은 보안 자동화 솔루션을  보안 인프라에 배치하면 개발팀이 시간을 절약하고 보다 효율적으로 작업하는데 큰 도움이 됩니다.  또한 개발팀과  운영팀간의 소통의 양을 줄여주기 때문에 매우 IT운영을 매우 효율적이고 생산적으로 변화 시킬 수 있습니다.

WARATEK 보안플랫폼의 RASP 솔루션인 Patch&Secure는  오탐이 없음을 보장하고 어떠한 경우라도 보안 컨트롤에 단절을 발생시키지 않습니다. 

WARATEK은 컴파일러 기반의  가상 패치기술을 제공하여 다운타임 없는 패치적용이 가능하고, 어떠한 패치를 적용하더라도 소스코드 수정이 필요치 않기 때문에  패치 작업을 위한 다운타임을 제거하고, 비용을 절감 할 수 있습니다.

와라텍 문의 하기(클릭!)

Waratek - Customer Alert 20201020

이번 Oracle Critical Patch Update (CPU)에는 Oracle 제품군 전반에 걸쳐 402개의 소프트웨어 패치가 포함되어 있으며 이는 지난 분기의 기록적인 패치 수에 가까운 후속 조치입니다.

이번 분기의 CPU 28개의 제품에 영향을 미치며 그 중 20개에는 CVSS 등급이 9.8 또는 10 인 결함이 포함되어 있습니다. 분기 별 업데이트에 포함된 높은 비율의 CVE는 다음과 같은 사용자 인증없이 원격으로 악용 될 수 있습니다.

• Java SE CVE의 100%
• Oracle E-Business Suite CVE의 93%
• Fusion Middleware CVE의 78%
• PopleSoft CVE의 80%

분석 

지난 분기의 패치 업데이트는 약간 더 많았지만 이 CPU는 작년과 비교하면 거의 두배에 가까운 취약점 수 입니다. 지난 분기보다 현재 더 많은 재품에 더 많은 심각한 취약점이 있습니다. 흥미롭게도 Java SE가 더 조용한 CPU입니다. 8개의 CVE 만 있고 가장 높은 점수도 5.3입니다. 약간의 변동은 있지만 이번 분기는 Java SE가 조금은 조용한 상태 입니다.

이 CPU에서 가장 눈에 띄는 것은 취약점 연구의 전형적인 쇠퇴와 흐름을 볼 수 있었다는 것입니다.  이는 개별 제품의 변동하는 취약점 수에 반영이 됩니다. 

그럼 이제 패치를 위한 우선순위와 모범 사례에 대해 논의를 하자면, Oracle을 포함한 모든 소프트웨어 공급업체의 권고는 항상 모든 패치를 적용하는 것이라는 것을 모두에게 상기 시키는 것이 중요합니다. 그렇지 않으면 Java SE와 같은 제품의 패치에서 CVSS 점수가 낮으면 패치적용에 안일 할 수 있는 위험이 있기 때문입니다.

하지만 중요한 것은 애플리케이션 보안이 안일하게 일어나지 않는다는 것입니다. 악의적인 행위자들은 점점 그들의 악의적인 목적을 달성하기 위해 사소한 취약점도 무기화 하기 위해 노력하고 있기 때문입니다.

 위험 점수도 중요하지만, 더 중요한 것은 이러한 애플리케이션의 사용자와 운영자들이 파과적인 결과를 얻기 위해 다른 취약성과 결합하여 무기화되는 것을 피하기 위해 이러한 수정사항을 공개하는 즉시 적용하는 

Next Step

와라텍을 사용하지 않는 고객 - Oracle의 지침을 따라야 합니다. 즉, 개발 테스트 환경에서 개발 테스트를 진행하고 그에 수반되는 모든 노력과 비용 및 시간을 투입한 후에 프로덕션 환경으로 전환해야 합니다.

와라텍을 사용하는 고객 - 매우 쉬운 가벼운 프로세스로 진행 됩니다. 가상 패치를 다운로드하여 보안 제어를 수행한 다음 콘솔에서 버튼을 눌러 배포합니다.  단 5분만에 보호받을 수 있습니다.

와라텍 패치 및 와라텍 업그레이드 고객은 계약의 일부로 Oracle CPU CVE를 해결하는패치를 다운 받아서 애플리케이션 중단없이 즉각 배포하고 적용 할 수 있습니다.  일부 CVE는 제로 튜닝 및 구성을 활성화로 제로 데이 공격 보호를 제공하는 Waratek에서 기본 제공되는 CWE  규칙으로 해결 됩니다.

참고 - Oracle Critical Patch Update Advisory - October 2020 보기

와라텍 문의하러가기!!

엔터프라이즈 보안팀은 급증하는 경보로 처리에 한계를 느끼고 있습니다.

Forrester Consulting 설문 조사에 의하면 세계의 엔트프라이즈 보안팀은 사이버 공격의 속도, 규모 및 정교함으로 인해 매우 큰 어려움을 격고 있다고 느끼고 있는 것으로 분석 되었습니다. 

설문의 응답한 기업의 무려 79%가 작년에 사이버 침해를 경험했으며 지난 6개월 동안 거의 50%가 침해를 당했다고 하네요

지속적인 공격으로 평균 1일 11,000개 이상의 보안 경고가 발생하고 있지만 수작업의 프로세스와 이질적인 레거시 보안 툴로 인하여 28% 정도는 해결하지 못하고 있다고 합니다.

설문조사에서 47%조직만이 하루에 발생하는 보안 경고의 대부분 또는 전부를 해결할 수 있다고 답했습니다. 해결된 문제중에 1/3이 오탐이었다고 하네요

대부분의 보안 운영 팀이 평균 조사시간, 처리한 사고수,평균 대응시간 등과 같이 지요 지표에 대해 벤치 마크 기준을 달성하지 못했다고 합니다.

IT 의사 결정자 중에서 82%는 위협에 대한 대응이 대부분 또는 완전히 사후 적이라는데 동의했지만 더 적극적으로 대처하고 싶어 했다고 합니다.

이러한 문제를 해결하는데 있어 인적 자원으로 추가하는 것이 극복할 수 있는 방법으로 여겨지지만, 이 것도 인력의 기술 부족에 대한 문제가 또하나의 해결할 문제로 남아있습니다.

완전한 해결 방안  Waratek

와라텍은 오탐 없음을 보증하는 런터임 애플리케이션 보안 솔루션입니다. 

따라서 레거시 보안 툴에서 발생시키는 무분별한 경고를 제고하고 실질 적인 위협을 탐지하고 차단할 수 있는 솔루션입니다.

와라텍만이 가지고 있는 특별한 기능과 성능은 SecOps에 있어 업무의 효율화 및 가장 확실한 보안 수단을 제공합니다.

-- 와라텍 정보 바로보기 --

출처: https://maxtive.tistory.com/68 [소프트웨어 전문 컨설팅 및 기술지원 전문]

미국 사이버보안청(CISA-Cybersecurity and Infrastructure Security Agency)는 취약점을 악용한 원격 코드 실행과 서비스 거부 공격을 허용하는 Apache Struts2 버그 CVE-2019-0230 및 CVE-2019-0233에 대한 경고를 발표했습니다. 
Apache Struts 버전 2.0.0 ~ 2.5.20은 8 월에 GitHub에 게시 된 PoC 익스플로잇의 대상입니다.

CVE-2019-0230-Struts 2 프레임 워크는 강제적으로 ID와 같은 특정 태그 속성에 할당 된 속성 값을 이중 으로 설정하여  태그의 속성이 렌더링 될 때 다시 설정 된 값을 전달할 수 있습니다. 조작된 요청을 통해 RCE (원격 코드 실행)로 이어질 수 있습니다.

CVE-2019-0233-Strust 2 Wiki는 파일 업로드를 수행 할 때 CVE-2019-0233은 서비스 거부 (DoS) 공격에 사용될 수 있다고 언급합니다.
getter를 사용하여 파일을 노출하는 Action으로 파일 업로드가 수행되면 공격자는 업로드 된 파일의 복사본이 읽기 전용으로 설정되도록 요청을 조작 할 수 있습니다. 결과적으로 파일에 대한 후속 작업이 오류와 함께 실패하게 됩니다. Servlet 컨테이너의 임시 디렉토리를 읽기 전용으로 설정하여 후속 업로드 작업이 실패 할 수도 있습니다.

Action Steps

Apache Foundation은 사용자에게 Struts v 2.5.22로 업그레이드 할 것을 권장하지만, 응용 프로그램의 기능을 손상시키지 않으면서 수정 사항이 많은 오픈 소스 코드로 애플리케이션을 업그레이드하는 것은 불가능할 수 있습니다.

Waratek Patch, Secure 및 Upgrade 고객은 CVE-2019-0230 및 CVE-2019-0233에서 확인 된 취약성을 수정하기 위해 가상 ARMR 패치를 요청할 수 있습니다.
Waratek 서비스에 포함되어 있는 기능중 Waratek의 파일, 프로세스 포킹 및 입력 유효성 검사 규칙도 공격을 완화합니다.
ARMR 패치와 규칙은 몇 분 안에 설치되며 소스 코드 변경이나 응용프로그램의 다운 타임이 필요하지 않습니다.

와라텍 고개이 아니라면 취약점 제거를 위해 Struts 2.5.22 로 업그레이드를 하시거나 와라텍의 서비스 데모를 받아 보시길 추천합니다. 

About Waratek

많은 글로벌 대기업은 Waratek의 ARMR Security Platform을 사용하여 미션 크리티컬 애플리케이션을 패치, 보안 및 업그레이드합니다.
차세대 애플리케이션 보안 솔루션인 Waratek은 다운 타임없이 취약점을 즉시 감지 및 수정하고, 제로 데이 공격으로부터 애플리케이션을 보호하며, 지원되지 않는 Java 애플리케이션을 가상으로 업그레이드 할 수 있습니다.
시간이 소모되고 값 많은 비용이 소모되는 소스 코드 변경이나 허용 할 수 없는 성능 오버 헤드 없이 모두 가능합니다.

와라텍에 대한 자세한 정보나 문의사항은 아래 링크를 확인하시면 됩니다.

와라텍 바로가기