[KRCERT]Oracle 제품 사용 주의 권고

내용 요약

Oracle WebLogic Server의 WLS Security 구성 요소에서 입력값 검증이 부실해 발생한 CVE‑2017‑10271은 원격 코드 실행(RCE) 취약점입니다. 이 버전(10.3.6 이하, 12.1.3 이하, 12.2.1.1 이하, 12.2.1.2 이하)을 사용 중인 조직은 즉시 최신 버전(또는 Oracle CPU)으로 패치해야 합니다.

핵심 포인트

• 입력값 검증 부족 → 공격자가 악의적 요청을 보내면 서버가 임의 코드를 실행할 수 있음.
• 영향받는 버전: 10.3.6.0.0 이하, 12.1.3.0.0 이하, 12.2.1.1.0 이하, 12.2.1.2.0 이하.
• 완전한 방어: Oracle 공식 CPU(오라클 보안 패치 업데이트) 적용 혹은 최신 버전으로 업그레이드.

기술 세부 내용

1️⃣ Oracle WebLogic Server

• 구성: Java 기반 애플리케이션 서버로, 기업급 웹서비스, SOA, JMS 등 다양한 미들웨어를 제공.
• 보안 요소: WLS Security 모듈은 인증, 권한 부여, 세션 관리, CSRF 방어 등 핵심 기능을 담당.
• 취약점 노출 경로: 관리자 콘솔(/console) 혹은 WebLogic REST API에 비정상적(특수문자, 길이 초과) 요청이 들어오면, 내부 파서가 입력을 제대로 검증하지 못해 java.lang.RuntimeException 대신 임의 JVM 코드가 실행될 수 있음.
• 결과: 공격자는 시스템 쉘, 파일 조작, 서비스 중단 등 심각한 피해를 입힐 수 있음.

2️⃣ CVE‑2017‑10271 (원격 코드 실행)

단계	내용
1️⃣ 취약점 식별	WebLogic 10.x/12.x에서 WLS Security의 HTTP 파서가 & 나 < 같은 특수 문자를 제대로 escape하지 않음.
2️⃣ 공격 시나리오	① 공격자는 http://target:7001/console/?lang=java.lang.String&someParam=...와 같이 특수 문자열을 삽입, ② 서버는 이를 해석 중 Runtime.exec() 호출을 트리거, ③ 임의 명령어가 실행됨.
3️⃣ 영향	관리자 권한을 획득하거나, 서비스 거부(DoS), 데이터 손상 등.
4️⃣ 방어 조치	a) CPU 적용: Oracle Security Patch (CPU) Oct 2017 이후 패치 적용. b) 버전 업그레이드: 10.3.6+ → 12.2.1.3 이상, 혹은 최신 LTS 버전. c) 네트워크 격리: 외부에서 /console 접근 차단, 내부 인증서 사용.
5️⃣ 확인 방법	① curl -I http://<host>:7001/console/ → 정상 헤더 반환 여부, ② Oracle CPU 게시물([1]) 확인, ③ 내부 테스트용 exploit 스크립트로 취약점 존재 여부 확인.

참고
- CPU Oct 2017: https://www.oracle.com/security-alerts/cpuoct2017.html
- WebLogic 문서: https://docs.oracle.com/en/middleware/fusion-middleware/weblogic-server/
- NVD 상세: https://nvd.nist.gov/vuln/detail/CVE-2017-10271

---

문의

• 한국인터넷진흥원 사이버민원센터 (국번없이 118)

---

키워드: Oracle WebLogic Server, CVE‑2017‑10271, Remote Code Execution, WLS Security, 입력값 검증, Oracle CPU.

 

출처: https://knvd.krcert.or.kr/detailSecNo.do?IDX=6575