소프트웨어 전문 컨설팅 및 기술지원 전문

Oracle의 2021 년 2 분기 중요 패치 업데이트 : 패치 된 제품의 83 %가 원격 실행 가능

요약 : 2021년 4월 오라클 CPU(Critical Patch Update)에는 36개 제품군에서 390개의 패치가 포함되어 있으며, 이는 1분기 업데이트에 비해 CVE 패치가 거의 19% 증가한 수치입니다. 업데이트에 패치된 36개 제품군 중 83%는 사용자 자격 증명 없이 원격으로 실행할 수 있는 취약성을 포함하고 있습니다. 18개(18개) 제품군은 CVSS 등급이 9.1 이상인 결함이 있으며, 여기에는 10.0점인 3개 제품이 포함됩니다.

분석 : 

• 패치된 취약성의 절반 이상(56%)은 사용자 자격 증명 없이 원격으로 실행될 수 있습니다.
• Oracle E-Business Suite에는 70개의 Oracle 패치와 1개의 타사 패치가 포함되어 있습니다. CVE 중 22개는 원격으로 실행할 수 있습니다. CVSS 최고 점수는 9.1점입니다. 
• 오라클 퓨전 미들웨어에는 45개의 패치가 있습니다. CVE 중 36개를 원격으로 실행할 수 있습니다. 6(6)의 CVSS 점수는 9.8이며 원격으로 실행될 수 있습니다. 
• Oracle PeopleSoft용 패치는 18개이며, CVE 중 13개는 원격으로 실행할 수 있습니다. CVSS 최고 점수는 8.3점입니다. 
• CVE를 원격으로 실행할 수 있는 4개의 Java SE 패치가 있습니다. 두 개의 패치 중 두 개는 Java SE 7u291, 8u281, 11.0.10 및 16의 결함을 해결합니다. 가장 높은 CVSS 점수는 7.5입니다. 
• 2021년 4월 중요 패치 업데이트에서 패치된 CVE가 현재 시장에서 악용되고 있다는 징후는 없습니다.

여기에서 전체 Oracle CPU 뉴스 릴리스를 읽어 보십시오.

Next Step :

Waratek을 사용하지 않는 고객은 프로덕션 환경으로 전환하기 전에 업데이트된 바이너리 패치를 개발 및 테스트 환경에 수동으로 전파하는 Oracle의 권장 지침을 따라야 합니다. 

Waratek 고객은 훨씬 더 간단한 프로세스가 적용됩니다. Waratek 패치 및 Waratek 업그레이드 고객은 계약의 일부로 Oracle CPU CVE를 해결하는 ARMR 가상 패치를 받게 됩니다.  Waratek Secure 고객은 튜닝 또는 구성을 사용하지 않고 제로 데이 보호를 활성화하는 내장 CPUE 완화를 지원하기 위한 ARMR 정책 권장 사항을 받게 됩니다. 

모든 경우 와라텍 고객은 다운타임이나 서비스 중단 없이 생산 애플리케이션에 대한 즉각적인 보호를 달성한다. 와라텍의 다양한 보안 Agent로 고객들은 5분 이내에 보호됩니다.

About Waratek

세계 유수의 기업 중 일부는 Waratek의 ARMR 보안 플랫폼을 사용하여 업무 핵심 응용 프로그램을 패치, 보안 및 업그레이드합니다. 차세대 응용 프로그램 보안 솔루션의 개척자 인 Waratek을 사용하면 보안 팀이 다운 타임 없이 알려진 취약점을 즉시 감지 및 해결하고 알려진 및 제로 데이 공격으로부터 응용 프로그램을 보호하며 지원되지 않는 Java 응용 프로그램을 사실상 업그레이드 할 수 있습니다. 시간이 많이 걸리고 값 비싼 소스 코드 변경이나 용납 할 수 없는 성능 오버 헤드 없이 모두 가능합니다.

Waratek은 사이버 보안 혁신 상 (Cybersecurity Breakthrough Award)의 "2019 올해의 웹 보안 솔루션"으로 선정, RSA Innovation Sandbox Award에서 우승자였으며, 12 개 이상의 다른 상과 표창을 수상했습니다. 자세한 정보는 www.waratek.com을 방문하십시오.

와라텍 문의 하기 ☞

DevOps의 개념과 원칙을 이해하고 개발자와 운영자가 효율적인 협업을 할 수 있게 되더라도 보안은 여전히 고려해야 합니다.

DevOps는 소프트웨어의 개발과 수명주기 계획, 코딩, 테스트, 배포 및 모니터링 단계에서의 원활한 전환을 구현하기 위해 도입하게 됩니다.  그러나 도입이 된 상태에서도 웹 애플리케이션을 안전하게 운영할 수 있는 방법을 고려해야만 합니다.

DevOps 환경에서의 기존 보안 도구의 한계

시장의 수요 속도에 맞는 속도를 맞추기 위해 DevOps를 도입하지만, 애플리케이션의 릴리즈 주기가 빨라짐에 따라 SAST, DAST, Pen Testing과 같은 기존의 보안 도구로는 한계가 발생합니다.  배포전에 취약점을 감지할 수 있지만, 런타임 상태에서 발생하는 문제는 해결하지 못하기 때문입니다.

이러한 문제를 해결하기 위해서는 웹 애플리케이션 스스로가 자신을 보호하고 공격을 차단하는 것입니다. RASP(Run Time Application Self-Protection) 기술을 통해 구현이 가능합니다.

RASP는 웹 애플리케이션이 동작하는 서버에서 실행되며, 웹 애플리케이션이 실행되면 지속적으로 앱 동작을 분석하고 실시간으로 위협을 완화시킵니다. 악의적인 동작을 방지하기 위해 앱의 호출을 가로채서 앱 내부의 데이터 요청에 대한 유효성 검사를 수행합니다.

RASP 보안 자동화를 통한 효율성 향상

DevOps에서 반듯이 보안 프로세스가 통합되어야 하며, 통합된 환경에서 RASP는 보안에 있어 수동 작업을 최소화하여 개발 과정을 더 원활하게 운영할 수 있습니다. 이러한 보안 통합 환경이 바로 DevSecOps 입니다.

RASP솔루션 배포를 통해 애플리케이션의 논리, 구성 및 이벤트 흐름에 대한 심층적인 통찰력을 얻을 수 있습니다. SQL인젝션과 같은 위협은 해당 경로에서 중지 될 수 있고, 기존의 방화벽과 같이 RASP는 해당 세션을 종료 할 수 있습니다. 방화벽의 경우 경계 내에서 발행하는 공격은 막을 수 없으며, 애플리케이션에 대한 직접적인 공격에 대하여는 대응이 불가능하여 쓸모가 없게 됩니다. 

클라우드 및 모바일 장치의 사용이 증가함으로 인하여 네트워크 경계를 침투하는 공격이 성공하는 사례가 늘어나고 있기 때문에 방화벽과 WAF는 보안 효율성이 떨어집니다.

RASP는 WAF보다는 오탐이 적거나 없습니다. 따라서 보안팀이 잘못된 정보에 매달리지 않게되며, 진짜 문제에 대하여 집중하여 위협을 해결하는데 더 많인 시간을 할애 할 수 있습니다.

RASP와 같은 보안 자동화 솔루션을  보안 인프라에 배치하면 개발팀이 시간을 절약하고 보다 효율적으로 작업하는데 큰 도움이 됩니다.  또한 개발팀과  운영팀간의 소통의 양을 줄여주기 때문에 매우 IT운영을 매우 효율적이고 생산적으로 변화 시킬 수 있습니다.

WARATEK 보안플랫폼의 RASP 솔루션인 Patch&Secure는  오탐이 없음을 보장하고 어떠한 경우라도 보안 컨트롤에 단절을 발생시키지 않습니다. 

WARATEK은 컴파일러 기반의  가상 패치기술을 제공하여 다운타임 없는 패치적용이 가능하고, 어떠한 패치를 적용하더라도 소스코드 수정이 필요치 않기 때문에  패치 작업을 위한 다운타임을 제거하고, 비용을 절감 할 수 있습니다.

와라텍 문의 하기(클릭!)

배경

오라클은 SANS Institute에서 웹로직(WebLogic) 서버 결함인 CVE-2020-147802에 대한 경고를 게시한지 불과 며칠 만에 WebLogic Server CVE-2020-14750에 대한 Out-of-Band 업데이트를 발표했습니다.
적극적인 공격을 받고 있는 두 CVE 모두 CVSS 점수가 9.8이며 별도의 인증 없이 원격으로 이용당할 수 있는 취약점입니다.

Discussion - CVE-2020-14750

오라클이 발표한 Out-of-Band 업데이트에 따르면 CVE-2020-14750은 2020년 10월 오라클 Critical Patch에서 패치된 CVE-2020-14882와 관련이 있습니다. CVE-2020-14750은 부적절한 입력 유효성 검사로 인해 존재합니다. 원격 공격자는 특수하게 조작된 요청을 보내고 대상 시스템에서 임의 코드를 실행할 수 있습니다. 이 취약성에 대한 공격이 성공하면 취약한 시스템이 완전히 손상될 수 있습니다.

Vulnerable WebLogic Versions include:
10.3.6.0.0        12.1.2.0
12.1.3.0.0        12.2.1.0
12.2.1.1          12.2.1.2
12.2.1.2.0        12.2.1.3.0
12.2.1.4.0        14.1.1.0.0

Discussion - CVE-2020-14882

CVE-2020-14882용 패치는 2020년 10월 21일에 릴리스 된 오라클의 2020 년 4 분기 Critical Patch Update에 포함되었습니다.  오라클은 공격이 복잡하지 않고 권한이 필요 없으며 사용자 상호 작용이 없다고 설명했다. HTTP를 통해 네트워크에 액세스하는 공격자가 악용 할 수 있습니다.

SANS Technology Institute의 연구 책임자 인 Johannes B. Ullrich 박사의 게시판에서 그는 "네트워크에서 해당 취약점에 취약한 서버를 발견하면 이미 손상되었다고 가정하십시오"라고 언급했습니다.

Vulnerable WebLogic Versions include:
10.3.6.0.0        12.1.3.0.0
12.2.1.3.0        12.2.1.4.0
14.1.1.0.0

Action Steps

와라텍 패치(Waratek Patch) 고객은 CVE2020-14750, CVE-2020-14882 및 CVE-2020-14883 (위험은 낮지만 원격 실행 가능한 Fusion 미들웨어 결함)을 수정하는 ARMR 가상 패치에 즉시 액세스 할 수 있습니다. 
와라텍 ARMR 가상 패치는 소스 코드 수정, 애플리케이션 다운타임 또는 앱의 기능 중단 위험 없이 코드 결함을 몇 분 만에 수정합니다.

About Waratek

많은 글로벌 대기업은 Waratek의 ARMR Security Platform을 사용하여 미션 크리티컬 애플리케이션을 패치, 보안 및 업그레이드합니다. 
차세대 애플리케이션 보안 솔루션인 Waratek은 다운 타임없이 취약점을 즉시 감지 및 수정하고, 제로 데이 공격으로부터 애플리케이션을 보호하며, 지원되지 않는 Java 애플리케이션을 가상으로 업그레이드 할 수 있습니다. 
시간이 소모되고 값 많은 비용이 소모되는 소스 코드 변경이나 허용 할 수 없는 성능 오버 헤드 없이 모두 가능합니다.

와라텍에 대한 자세한 정보나 문의사항은 아래 링크를 확인하시면 됩니다.

와라텍 문의 바로가기(클릭!)

와라텍의 설립자 겸 CTO인 John Matthew Holt는 오라클에서 새롭게 출시한 java 플랫폼 버전에 대해 기존 다른 애플리케이션 플랫폼 보다 java가 우위를 가져 갈 수 있는 흥미롭고 새로운 기능을 가지고 있다고 언급했습니다. 

와라텍 CEO 인 John Adams와 Holt는 Java 15의 새로운 기능이 Waratek의 업그레이드 에이전트를 통해 이전 Java 버전을 유지하는데 어떻게 도움이되는지에 대해 설명합니다.

CEO 존 애덤스: 자바 15의 새로운 기능은?

CTO 존 매튜 홀트 : Java 15에는 처음으로 완벽히 지원되는 프로덕션 기능이 많이 있습니다. 중요한 새로운 특징은 봉인된 클래스입니다. Java 15에는 약 50개의 새로운 클래스와 메서드가 있으며, 그중 약 25개는 Java 15가 TLS 1.3 표준의 핵심 부분을 지원할 수 있도록합니다.
ZGC와 Shenandoah GC는 수백 기가바이트의 거대한 힙 크기를 지원할 수 있으며, 매우 낮은 정지 시간을 보이는 가비지 콜렉터를 java플랫폼에 적용하였습니다.
이것은 자바 개발자들이 과거에 힙 크기에 대해 고민하던 것에 비하면 엄청난 변화입니다. 이러한 새로운 GC는 Java 플랫폼이 다른 애플리케이션 엔진 보다 확실히 비교 우위를 점하는 것입니다. 

JA: 자바 11은 큰 도약이었으나 지원 되지 않는 기능들도 많았습니다. 이 버전의 Java에서 종료되는 기능이 있습니까?

JMH : Java 15에서 Nashorn JavaScript 엔진 (많은 Java 릴리스에서 사용 된 기능)이 완전히 제거되었습니다. RMI (Remote Method Invocation) 활성화 기능 세트는 이제 후속 릴리스에서 제거하기 위해 더 이상 사용되지 않습니다.

마찬가지로,  Solaris 및 Sparc 플랫폼을 지원하기위한 모든 코드와 해당 플랫폼에 대한 JDK 포팅도 Java 15에서 제거되었습니다. Solaris 및 Sparc 지원을 제거하면 JDK 및 새로운 기능 이니셔티브를 이전 아키텍처를 함께 사용하지 않고도 앞서 나갈 수 있다고 판단한 것입니다.

JA : 새로운 가비지 콜렉터의 장점은 무엇입니까? 

JMH : 새로운 GC의 정교함은 다른 JIT컴파일러 런타임의 사용량을 훨씬 뛰어넘는 것입니다. 와라텍 업그레이드 Waratek Upgrade)에이전트를 사용하는 고객은 소스 코드를 변경하거나 애플리케이션과의 호환성에 대해 걱정할 필요 없이 GC 수집기의 워크로드를 활용할 수 있습니다.
기본적으로 클릭 만으로 애플리케이션을 다시 시작할 수 있으며 기존의 핵심 비즈니스 워크로드와 크리티컬 워크로드가 새로운 GC수집기에서 얻을 수 있는 고성능을 활용할 수 있게 됩니다. 

JA : 올해 초 개발자의 2/3가 Java8로 개발하고 있다. Java15로 전환하는 것이 얼마나 어려운가요?

JMH : 

JMH : 대부분의 애플리케이션, 그리고 코드 크기나 정교함의 측면에서 가장 중요한 애플리케이션의 경우, 최신 버전의 Java로 이동하는 것은 불가능합니다. 이러한 부분이 Java9부터 시작된 급격한 변화의 어두운면입니다. 따라서 Java9 이후 부터 Java의 새 버전 관리 프로세스는 새로운 기능과 개선사항의 증가를 촉진하고 활성화 하였지만, 이전 버전과의 호환성을 희생하였다고 볼 수 있습니다.

하지만 대부분의 기존 비즈니스 크리티컬 애플리케이션은 Java8에 의해 구동되며, 이는 기존의 애플리케이션들이 극복 할 수 없는 유리 천장과 같습니다. 이것이 아직도 Java개발자들을 괴롭히는 요인입니다. 현재 작업중인 코드는 Java8 또는 이전 버전으로 개발 되었으며 Java15용으로 해당 코드를 리팩터링 한 다음 6개월 동안 Java16용으로 다시 리팩터링, 그리고 6개월 후 Java17로 다시 이를 수행해야 하는데, 불가능한 작업이라고 보시면 됩니다.

JA :  다양한 버전의 Java를 사용할 수 있는 이러한 상황에서 와라텍 솔루션은 기업이 Java 자산을 관리하는데 어떠한 도움을 줄까요?

JMH : 빠르게 성장하는 Java 플랫폼은 오늘날 Java15로 구현 되었지만 기존 Java 워크로드와 현실 사용에서 틈을 메우기위한 도구가 정말 많이 필요합니다. 
와라텍 업그레이드(Waratek Upgrade)는 소스 코드 변경 및 별도의 호환성을 위한 작업 없이 모든 Java버전의 Java앱을 최신 JDK로 즉시 마이그레이션합니다.
와라텍 업그레이드 에이전트를 사용하여 애플리케이션을 다시 시작한 후 새로운 JDK가 제공하는 모든 기능 및 이점과 함께 최신 JDK (Java 15)에서 즉시 실행되기 시작한다는 것입니다.
새로운 가비지 콜렉터, 새롭고 빠른 JIT 컴파일러, 최신 암호화 및 TLS 컴플라이언스 준수, 응용 프로그램에 매우 중요한 모든 보안 업데이트 및 수정 사항이 모두 최신화됩니다.

와라텍 문의 하기(클릭!)

배경

웹로직 서버 결함, CVE-2020-14882는 CVSS기준으로 10점 중 9.8점입니다. SANS Technology Institute의 연구원에 따르면 매우 적극적인 형태의 공격임을 알 수 있습니다.

Discussion

CVE-2020-14882용 패치가 오라클의 2020년 4분기 중요 패치 업데이트에 포함되었습니다.
2020 년 10 월 21 일. 오라클은 공격이 "low" 수준의 복잡성을 가지며, 권한을 요구하지 않고 사용자간 상호작용이 없다고 설명합니다. 이는 HTTP를 통해 네트워크에 엑세스하는 공격자에 의해 악용 될 수 있음을 의미합니다. 

요하네스 B. 울리히 (Johannes B. Ullrich, Ph.D., SANS Technology Institute 연구 부장)는 네트워크에서 해당 취약점에 노출된 서버는 바로 손상된다며 취약한 WebLogic 버전을 언급했습니다.

10.3.6.0.0 12.1.3.0.0
12.2.1.3.0 12.2.1.4.0
14.1.1.0.0

Action Steps(Waratek Customer)

와라텍을 사용하는 고객 - 매우 쉬운 가벼운 프로세스로 진행 됩니다. 가상 패치를 다운로드하여 보안 제어를 수행한 다음 콘솔에서 버튼을 눌러 배포합니다.  단 5분만에 보호받을 수 있습니다.

와라텍 패치(Waratek Patch) 고객은 CVE2020-14882를 수정하는 ARMR 가상 패치에 즉시 액세스 할 수 있습니다.
Waratek ARMR 가상 패치는 소스 코드 변경, 애플리케이션 다운 타임 또는 위험없이 몇 분 만에 코드 결함을 수정할 수 있습니다. 
Warateck Secure 및 Upgrade 고객은 Warateck의 자율적인 보호 기능을 통해 자동으로 보호됩니다. 
CVE-2020-14882의 모든 RCE 악용으로부터 보호하는 CWE-114 완화.

와라텍을 사용하지 않는 고객 - Oracle의 지침을 따라야 합니다. 즉, 개발 테스트 환경에서 개발 테스트를 진행하고 그에 수반되는 모든 노력과 비용 및 시간을 투입한 후에 프로덕션 환경으로 전환해야 합니다.

와라텍 패치 및 와라텍 업그레이드 고객은 계약의 일부로 Oracle CPU CVE를 해결하는패치를 다운 받아서 애플리케이션 중단없이 즉각 배포하고 적용 할 수 있습니다.  일부 CVE는 제로 튜닝 및 구성을 활성화로 제로 데이 공격 보호를 제공하는 Waratek에서 기본 제공되는 CWE  규칙으로 해결 됩니다.

와라텍 문의하러가기!!

TLS 1.0은 20년이 넘었고, 더이상 지원하지 않습니다.

1999년 SSL v3에서 TLS 1.0이 시작되어, 지금은 20년이 넘었습니다. v1.0은 수년에 걸처 여러가지 주요 취약점과 악용사례 및 다양한 공격이 확인되었습니다. 이런 문제의 근본적인 원인은 v1.0에 포함된 취약한 암호화 요소에서 비롯되었습니다. 

이에 대응해  TLS 1.1이 개발 되었고 Beast나 Poodle과 같은 잘 알려진 취약점은 없었지만 역시 약한 암호화를 가지고 있었습니다.

2020년 3월까지 Google, Apple, Mozilla를 비롯한  Microsoft와 같은 주요 브라우저 공급업체는 TLS 1.1 및 1.0을 지원하지 않기로 합의 했습니다. 이것은 TLS 1.2를 지원하지 않은 모든 서비스에 적용 된다는 의미입니다.

TLS 업드레이드가 어려운 이유   

Java v5로 실행하는 모든 종류의 핵심 크리티컬 비지니스 애플리케이션과 6u121 이전의 Java v6으로 실행하는 모든 애플리케이션은 TLS 1.2를 지원하지 않음으로 Google 및 Apple, MS등의 웹 브라우저에서 액세스하거나 사용 할 수 없고, Java v7을 사용하는 플랫폼의 경우 TLS 1.2가 기본적으로 비활성화되어 문제가 발생 합니다.

빠르게 Java v8로 넘어가고 있지만 오늘날 모든 비지니스 응용 프로그램의 가장 중요한 요소인 TLS 1.3(최신 표준)은 지원하지 않습니다. 따라서 최신 암호 표준을 사용하려면 Java v11 또는 그 이상의 버전으로 바꾸어야 합니다.

문제는 조직과 기업이 특정 시점에 애플리케이션을 개발하고 설치한다는 것 입니다. 애플리케이션에서 사용하는 스택과 라이브러리는 새로운 사양과 프로토콜을 지원하지 않기 때문에  지금 시점에 문제가 되고 있지만 애플리케이션을 업그레이드 또는 새로 개발 한다는 것은 많은 테스트와 시간 그리고 높은 비용으로 높은 부담을 가져야 하기 때문 입니다. 

문제의 해결 방안 - 최신 JDK로의 업그레이드, 그러나...

Java응용 프로그램에 대한 관리 경험이 있는 관리자 또는 담당자의 경우 최신 JDK로 업그레이드 하는 것이 가장 어려운 일이라는 것을 알고 있습니다. 특히 서버 Java 애플리케이션의 경우, 이것을 극복하기 위한 단 하나의 미봉책이 있는데, 이는 클라이언트와 엔드포인트와의 TLS 1.2 연결을 수신하거나 통신하기 위해 역방향 프록시의 사용을 설정후 이전 TLS 1.0 또는 1.1 로 연결하여 실제 애플리케이션 스택 내부로 연결을 프록시하는 것입니다. 

이러한 방법은 기술적으로는 확실히 통할 수 있지만 정상적이지도 않고 확장에도 한계가 존재합니다.

가장 쉽고, 빠르고, 간편한 해결 방법 - 와라텍!

문제의 근본적 원인은 소프트웨어가 구식이라는 것입니다. 더 정확하게는 플렛폼이 오래되었기 때문입니다.  따라서 오래된 소프트웨어 스택에 대한 문제를 해결 할 수 있다면 TLS 프로토콜도 업그레이되어 문제를 해결 할 수 있습니다.

와라텍(Waratek)은 바로 이런 역할을 하는 솔루션입니다.

소스 코드 변경이 필요 없고, 아무런 호환성의 문제도 없이  단 한번의 재기동 만으로 Java 14 이상으로 즉시 업그레이드 할 수 있으며  적용되는 전체 프로세스는 단 몇 초 밖에 걸리지 않습니다.

만약  Java 6에서  Java 14로 업그레이드를 하거나, Oracle Java SE에서 Open JDK 또는 Amazon Correctto 또는 다른 오픈소스 JDK로 변경을 원할 경우  와라텍은 즉시 API를 업그레이드하고, 성능을 개선시키고, TLS 문제를 해결 할 수 있는 최신 JDK버전으로 업그레이드 합니다. 

-- 와라텍 정보 바로보기 --

5년만에 가장 큰 규모의 오라클 최신 주요 패치 업데이트

7 월 Oracle 2020 CPU (Critical Patch Update)는 분기 별 발표에 따라 Oracle 제품군 전체에서 443 개의 CVE를 수정했습니다. CPU 패치는 29 개의 제품에 결함이 있으며, 그 중 다수는 "critical" 심각도 등급을 가지며 그 중 많은 비율은 사용자 자격 증명 없이 원격으로 악용 될 수 있습니다.

CPU에는 다음이 포함됩니다:
• Java SE 용 11 개 패치, 그 중 11 개는 원격으로 실행할 수 있음.
• Oracle Fusion Middleware 용 52 개 패치 (48 개 중 원격으로 실행할 수 있음)
• Oracle E-Business Suite 용 패치 30 개, 그 중 24 개는 원격으로 실행 가능.
• Oracle PeopleSoft 용 패치 11 개, 그 중 9 개는 원격으로 실행할 수 있음.

고객 및 예상에 대한 Waratek의 조언

Waratek Patch 및 Waratek Upgrade 고객은 계약의 일부로 Oracle CPU CVE를 해결하는 런타임 가상 패치를 받을 수 있습니다.

즉각적인 보호를 위해 다운 타임없이 가상 패치를 배포 할 수 있습니다. 일부 CVE는  Waratek의 내장된 CWE 규칙 등의 제공되는 보호 기능을 통해 튜닝 또는 Configuration 없이 제로 데이 (zero-day)로 부터 보호됩니다.

와라텍 고객이 아닌 경우에는 오라클의 조언에 따라 중요한 패치 업데이트를 지체 없이 적용 하여야 합니다.

Q3 CPU Java SE highlights
• Java SE는 여전히 엔터프라이즈 응용 프로그램에 가장 널리 사용되는 프로그래밍 언어입니다. 7 월 CPU에 패치 된 모든 취약점은 100 % 원격으로 악용 될 수 있습니다 (예 : Java 7 이전 및 최신 Java 14 버전의 결함). 이것은 대부분의 Java 결함이 원격 실행에 노출되어 몇 년 동안 계속되고 있습니다.
• Java SE에는 총 11 개의 새로운 fix 내용이 있으며 최고 CVSS 점수는 8.3입니다.
• Java SE 릴리스 용 CPU는 Java SE 버전 7u261, 8u251, 11.0.7 및 14.0.1의 결함을 패치합니다.
• JDK 8u261은 운송 계층 보안(TLS) 1.3 사양(RFC 8446)의 구현을 포함하며, TLS 1.3은 클라이언트 엔드포인트의 기본 SSLContext("SSL" 또는 "TLS")에 대해 비활성화 됩니다. TLS 1.3은 이전 버전과 직접 호환되지 않습니다.
• Java SE에서 해결 된 치명적인 취약점이 없습니다. 수정 된 취약점의 27 %가 심각도가 높습니다. 다른 27 %는 중간이고 나머지는 심각도가 낮습니다.
• 수정 된 취약점의 36 %가 Java SE의 핵심 라이브러리에서 수정되었습니다.

다른 Oracle 제품에 대하여
• 15 개의 Oracle 제품에는 1 개의 제품 (Oracle Communications Applications)이 10.0 점인 CVSS 3.0 기본 점수가 9.0 이상인 CVE 용 패치가 포함되어 있습니다. 10 개의 제품에는 9.8 등급의 CVE가 하나 이상 있습니다.
• Fusion Middleware는 52 개의 CVE를 fix했으며 그 중 48 개는 인증없이 원격으로 악용 될 수 있습니다. 가장 높은 CVSS v3.1 기본 점수는 9.8입니다.
• WebLogic 서버의 fix 내용 중에 약 20 %는 시스템의 완전한 손상을 허용 할 수있는 역 직렬화 취약점에 대한 fix입니다.
• WebLogic Server에서 임의의 파일 읽기 취약점을 허용하는 CVE-2020-14622가 패치되었습니다.

전체 Oracle CPU 뉴스 릴리스 내용 확인은 여기 에서 확인하세요.

About Waratek

세계 유수의 기업 중 일부는 Waratek의 ARMR 보안 플랫폼을 사용하여 업무 핵심 응용 프로그램을 패치, 보안 및 업그레이드합니다. 차세대 응용 프로그램 보안 솔루션의 개척자 인 Waratek을 사용하면 보안 팀이 다운 타임 없이 알려진 취약점을 즉시 감지 및 해결하고 알려진 및 제로 데이 공격으로부터 응용 프로그램을 보호하며 지원되지 않는 Java 응용 프로그램을 사실상 업그레이드 할 수 있습니다. 시간이 많이 걸리고 값 비싼 소스 코드 변경이나 용납 할 수 없는 성능 오버 헤드 없이 모두 가능합니다.

Waratek은 사이버 보안 혁신 상 (Cybersecurity Breakthrough Award)의 "2019 올해의 웹 보안 솔루션"으로 선정, RSA Innovation Sandbox Award에서 우승자였으며, 12 개 이상의 다른 상과 표창을 수상했습니다. 자세한 정보는 www.waratek.com을 방문하십시오.

와라텍 문의 하기 ☞

Code Injection 공경 완벽 방어
Java 클래스 패키지를 임의로 만들면 어떤 공격도 성공하지 못합니다. 실제로 모든 코드 삽입이 무효화 됩니다.

Code Injection 공격의 불가능
오늘날의 애플리케이션은 일반적으로 비효율적인 웹 애플리케이션 방화벽(WAF)과 통화(요청)가 악의적인 공격인지 또는 허용 가능한 조치인지를 추측하기 위해 계측이나 필터에 크게 의존하는 기타 도구에 의해 보호하고 있습니다.
이러한 휴리스틱 기반 접근 방식은 종종 허용 할 수 없는 높은 비율의 오탐을 생성합니다.

코드 주입 공격 – 2000개 이상의 관련 취약성을 가진 MITRE의 CVE 목록에 있는 Number 6는 특정 응용프로그램 취약성을 이용합니다.
Java에서 코드 삽입 악용을 시도하는 악의적 인 공격자는 호출 할 클래스 및 패키지의 정확한 이름을 알아야합니다.

Name Space Layout Randomization(무작위 화) - NSLR 소개

NameSpace Layout Randomization 또는 NSLR은 Java 기반 응용 프로그램의 ASLR (Address Space Layout Randomization)과 동일합니다.
Waratek에서 개발 한 NSLR은 JDK 네임 스페이스 (Java 패키지)를 무작위 화 함으로서 JVM (Java Virtual Machine)을 강화하여 코드 삽입 악용을 실행하기 어렵게 만들 수 있습니다.

예를 들어, NSLR이 사용 가능한 경우 java.lang.System 클래스는 무작위 화되어 java $ 85rbuLjHNERijUhN.lang.System과 같은 이름으로 변경돼고, java.lang.System을 호출하려고 시도하면 자동으로 실패합니다.

공격자가 공격을 성공적으로 실행하려면 무작위 패키지 이름을 알아야합니다. 추가 보호를 위해 Waratek은 JVM이 부팅 될 때마다 패키지를 무작위 화합니다.

시스템을 강제로 실행하고 무작위 패키지 이름을 검색하려고 시도해도 작동하지 않습니다. Waratek의 표준 구성에는 96 비트 이름의 최소 보안 수준을 가진 NSLR이 포함되며, 암호화를 해독하는 데 수천 년이 걸릴 수 있습니다. 이름은 최대 1024 비트까지 임의로 지정할 수 있습니다.

현재 부상하고있는 응용 프로그램 보안 기술은 False Positive를 생성하는 휴리스틱에 의존합니다.

와라텍은 다릅니다. 우리의 특허기술은 100% 정확도로 작전이 공격인지 허용 요청인지를 판단을 컴파일 기법에 기초하고 있습니다.

결론

애플리케이션 보안에 대한 Waratek의 고유 한 접근 방식은 단일 코드 라인을 변경하지 않고도 수년간의 취약점을 해결하고 오래된 Java JRE를 업데이트했습니다.

정상 작동 모드에 있는 동안 성능 오버헤드가 7% 가까이 개선되었으며 공격을 받는 동안 2.5% 미만이 증가하였습니다.

응용 프로그램 소유자는 오 탐지 제거 효과를 기대할 수 있고, 회사는 응용 프로그램을 종료하지 않고도 패치를 실행 할 수 있어 운영 효율성을 높일 수 있습니다.

따라서 패치 시간, 비용 및 패치 지연과 관련된 위험을 줄일 수 있습니다.

▶와라텍 문의하기 클릭

Customer Alert 20200708

Java 14 지원 및 .NET 지원 개선,  그리고 주요 제품과 관리콘솔의 새로운 메이저 버전 릴리즈를 통한 구축 및 운영의 편의성 제공

Background

Waratek은 자사의 컴파일러 기반의 런타임 보안 제품과 ARMR 가상 패치 DSL(Domain-Specific Language) 및 함께 제공되는 관리 콘솔의 새로운 장기 버전을 출시하였습니다.

이번 버전 업그래이드에는  와라텍의 프리미에 제품인 'Upgrade'로 지원이 종료된 자바 어플리케이션을 비용이 많으 드는 소스코드 변경 없이 Java 14로 올릴 수 있는 기능을 제공합니다.

신규 고객은 업그레이드 된 제품을 사용할 수 있습니다. 기존 고객은 Waratek Client Services로부터 자세한 정보를 받을 수 있습니다.

Discussion

Java 및 .NET 애플리케이션을위한 Waratek의 새로운 버전의 컴파일러 기반 런타임 에이전트는 Waratek의 세 가지 기본 요소를 쉽게 설치하고 운영 할 수 있도록 설계되었습니다.
제품은 '패치, 보안 및 업그레이드' 및 관리 콘솔 포함. 
또한 회사의 소스 코드 변경이없는 가상 패치에 적용되는 새로운 Waratek ARMR DSL가 포함되어 출시되었습니다.

Java 제품을 위한 특정 업그레이드된 기능은 다음과 같습니다:
• Support for Java 14 hosts for Upgrade
• Support Java 5 for Secure
• Single Upgrade Agent for all supported Java versions and environments
• Automated deployment of Secure and Upgrade
• Improved agent naming scheme and configurability
• Extensive logging improvements, including full Syslog support
• Flag-based configuration for security logging
• New protection features against:
• XML Deserial attacks
• XML Payloads
• HTTP Response Splitting (CWE-113)
• HTTP Verb Tampering (CAPEC-274)
• Support for SQL Injection protection of PostgreSQL databases
• Improved redirect rule for subdomains

Java 및 .NET 제품에 대한 관리 콘솔 (MC) 업그레이드 기능은 다음과 같습니다:
• Powerful rules wizards for easy configuration of all security rules
• Improved MC installation and configuration

관리 콘솔 (MC) 업그레이드 기능-계속 :
• Built-in ‘liveness URL’ for monitoring MC availability
• Embedded upgrades, including:
• PostgreSQL 9.x to 11.x upgrade
• Oracle 12c to 19c upgrade
• Elasticsearch 6 to 7 upgrade
• Bundled Java OpenJDK 11u7
• Bundle Elasticsearch 7
• Installation / configuration process single-script installs:
• Bundled Java
• Bundled Elasticsearch
• MC
• General performance improvements for deployment-at-scale and High Availability (HA)

Action Steps

Waratek Secure 및 Waratek Upgrade 고객은 고객 서비스 담당자에게 연락하여 편리하게 업그레이드를 예약 할 수 있습니다.
Warrak 고객이 아는 경우는 업그레이드 된 Waratek 제품의 평가판 라이센스 또는 라이브 데모를 요청해야합니다.

About Waratek

세계 유수의 회사 중 일부는 Waratek의 ARMR 보안 플랫폼을 사용하여 업무 핵심 응용 프로그램을 패치, 보안 및 업그레이드합니다.
차세대 응용 프로그램 보안 솔루션의 개척자 인 Waratek를 사용하면 보안 팀이 다운 타임없이 알려진 취약점을 즉시 감지 및 해결하고 알려진 및 제로 데이 공격으로부터 응용 프로그램을 보호하며 지원되지 않는 Java 응용 프로그램을 사실상 업그레이드 할 수 있습니다. 시간이 많이 걸리고 값 비싼 소스 코드 변경이나 용납 할 수없는 성능 오버 헤드가 발생하지 않습니다.

Waratek은 2019 년 사이버 보안 혁신 상 (Cybersecurity Breakthrough Award)의 2019 년 종합 웹 보안 솔루션 인 2020 Cyber Defense Magazine의 최첨단 애플리케이션 보안 상을 수상했으며 12 개 이상의 다른 상과 함께 RSA Innovation Sandbox Award의 이전 우승자로 인정을 받았습니다.

더 자세한 정보는 www.waratek.com을 방문하세요.

▶와라텍 문의하기 클릭

Customer Alert 20200608 - Waratek

보안 연구원은 Apache Tomcat의 역 직렬화 취약점 (CVE-2020-9484)의 새로운 RCE에 대한 PoC 및 세부 정보 발표. 
Waratek 고객은 기본 규칙에 의해 보호됩니다.

배경

새로롭게 개념 증명이 된 exploit이 GitHub에서 릴리스되었으며 Apache Tomcat 서버를 공격하는데 사용되고 있습니다. 2020 년 4월 12일 pdd 보안 연구에서 Apache Tomcat Security에 대한 보고서에 의하여 취약점에 대한 새로운 기술 세부 사항 및 익스플로잇 작동 방식에 대해 Red Timmy Security에 의해 발표되었습니다.

논점

CVE-2020-9484는 원격 코드 실행으로 이어질 수 있는 Apache Tomcat의 중요한 역 직렬화 결함입니다.

이 취약점은 다음 조건이 충족 될 때만 나타납니다 :

• 공격자는 서버의 내용과 파일 이름을 제어 할 수 있습니다.
• PersistenceManager는 FileStore로 활성화되고 구성됨.
• PersistenceManager는 다음과 같이 구성됨. sessionAttributeValueClassNameFilter=”null” (SecurityManager가하지 않는 한 기본값이 사용됩니다) or a sufficiently lax filter.
• 공격자는 FileStore에서 사용하는 저장 위치에서 공격자가 제어 할 수있는 파일까지의 상대 파일 경로를 알고 있으 경우.
• 클래스 경로에 가젯 체인을 구성하여 Java 역 직렬화 공격을 수행하는 데 사용할 수있는 알려 지거나 알려지지 않은 가젯이 있을 경우.

기본 Tomcat 설정은 영향을받지 않습니다. 영향을 받으려면 server.xml에서 다음과 같이 설정이 필요합니다.

<Manager className="org.apache.catalina.session.PersistentManager"> <Store className="org.apache.catalina.session.FileStore" directory="DIRECTORY"/> </Manager>

이러한 조건이 충족되면 공격자는 JSESSIONID 쿠키와 함께 특수하게 조작 된 HTTP 요청을 전송하여 역 직렬화를 통해 원격 코드 실행을 트리거 할 수 있습니다.

악의적으로 제작 된 직렬화 된 gadget 체인을 사용하여 공격자는 영향을 받는 응용 프로그램의 context에서 임의 코드 (원격 코드 실행 – RCE)를 실행할 수 있습니다. 공격이 성공하면 공격자는 랜섬웨어 배포를 포함하여 시스템을 완전히 손상시킬 수 있습니다. 공격이 실패하면 서비스 거부 조건이 발생할 수도 있습니다. 이 취약점은 CVSSv3 규모에서 10 점 만점에 7.0 점을 받았습니다.

Apache 팀의 수정에 따르면 결함은 역 직렬화 된 파일 경로의 올바른 입력 유효성 검증이 누락 된 FileStore 클래스에 있습니다.

Products Affected
    ▶ Apache Tomcat 10.x < 10.0.0-M5
    ▶ Apache Tomcat 9.x < 9.0.35
    ▶ Apache Tomcat 8.x < 8.5.55
    ▶ Apache Tomcat 7.x < 7.0.104

Unaffected Versions
    ▶ Apache Tomcat 10.x >= 10.0.0-M5
    ▶ Apache Tomcat 9.x >= 9.0.35
    ▶ Apache Tomcat 8.x >= 8.5.55
    ▶ Apache Tomcat 7.x >= 7.0.104

References 
    ▶ https://www.redtimmy.com/java-hacking/apache-tomcat-rce-bydeserialization-cve-2020-9484-write-up-and-exploit/
    ▶ https://nvd.nist.gov/vuln/detail/CVE-2020-9484
    ▶ https://github.com/masahiro331/CVE-2020-9484

Action Steps

Waratek Secure 및 Waratek Upgrade 고객은 이미 Waratek 응용 프로그램 보안 플랫폼의 기본 보호 기능 인 deserial / marshal 규칙으로 보호되어 있습니다. Waratek Patch, Secure 및 Upgrade에서 제공되는 Waratek의 프로세스 분기 규칙도 공격을 완화합니다. Waratek Secure 규칙은 구성이 없고 소스 코드 변경 없이 알려진 제로-데이 공격에 대한 보호 기능을 제공합니다.

Waratek의 즉시 사용 가능한 제로 데이 보호 기능은 최신 버전으로 패치 된 Apache Tomcat 버전을 보호 할뿐만 아니라 기존의 단종 된 Tomcat 릴리스도 보호합니다.

Waratek 이외의 고객은 다음을 권장합니다:
     1. 가능한 빨리 패치 된 최신 Tomcat 버전으로 업그레이드.
     2. 성공적인 공격을 확인 할 수있는 HTTP 500 오류가 있는지 Apache Tomcat 로그를 모니터링.
     3. 환경에 적합한 정규식으로 sessionAttributeValueClassNameFilter를 설정.
     4. JEP-290 글로벌 직렬화 블랙리스트 구성 (알려지고 위험한 가제트 포함)

Waratek이 역직렬화 공격으로 부터 특히 다운 타임, 소스 코드 또는 설정 변경, 정규식 또는 블랙리스트 없이 CVE-2020-9484에 대해 제로-데이 보호를 제공하는 방법에 대한 자세한 내용은 Waratek 담당자 또는 파트너에게 문의하거나 데모를 요청하세요.

About Waratek

세계 유수의 기업 중 일부는 Waratek의 ARMR 보안 플랫폼을 사용하여 업무 핵심 응용 프로그램을 패치, 보안 및 업그레이드합니다. 차세대 응용 프로그램 보안 솔루션의 개척자 인 Waratek을 사용하면 보안 팀이 다운 타임 없이 알려진 취약점을 즉시 감지 및 해결하고 알려진 및 제로 데이 공격으로부터 응용 프로그램을 보호하며 지원되지 않는 Java 응용 프로그램을 사실상 업그레이드 할 수 있습니다. 시간이 많이 걸리고 값 비싼 소스 코드 변경이나 용납 할 수 없는 성능 오버 헤드 없이 모두 가능합니다.

Waratek은 사이버 보안 혁신 상 (Cybersecurity Breakthrough Award)의 "2019 올해의 웹 보안 솔루션"으로 선정, RSA Innovation Sandbox Award에서 우승자였으며, 12 개 이상의 다른 상과 표창을 수상했습니다. 자세한 정보는 www.waratek.com을 방문하십시오.

와라텍 문의 하기 ☞