[데일리시큐][단독] 롯데카드 온라인 결제 시스템 해킹 시도 포착…웹쉘 업로드 통한 내부자료 1.7GB 유출 정황

내용 요약

롯데카드 내부 서버가 Oracle WebLogic CVE‑2017‑10271 취약점을 이용해 공격받았고, 웹쉘을 업로드해 악성코드를 심어 1.7 GB 의 결제 시스템 데이터를 외부로 유출했다.
공격은 단순 침투에서 벗어나, 내부 결제 인프라를 대상으로 한 정밀 데이터 탈취로 이어졌다.

핵심 포인트

• Oracle WebLogic CVE‑2017‑10271: 원격 공격자가 인증 없이 파일을 쓰고 실행할 수 있는 취약점
• 웹쉘 업로드: 악성코드를 실행하기 위해 관리자 권한 파일을 서버에 심어 제어권을 확보
• 데이터 exfiltration: 약 1.7 GB의 결제 데이터가 외부 서버로 유출되는 실질적 피해

기술 세부 내용

1️⃣ Oracle WebLogic CVE‑2017‑10271

• 취약점 개요
  • CVE‑2017‑10271은 Oracle WebLogic Server 10.3.6 ~ 12.1.3 에서 발생하는 Remote Code Execution 취약점이다.
  • 공격자는 SOAP 요청을 통해 서버에 /wls-wsat/CoordinatorPortType 엔드포인트에 파일을 업로드할 수 있다.
• 공격 단계
  1. 대상 식별 – 내부망에서 WebLogic 인스턴스가 외부에 노출되어 있음을 확인.
  2. SOAP 요청 조작 – 특정 XML 구조를 조합해 filename 파라미터를 임의로 지정.
  3. 파일 기록 – WebLogic이 파일 시스템에 *.<ext> 형태로 저장하도록 유도.
  4. 코드 실행 – 저장된 파일을 java 실행 환경에서 실행하도록 트리거.
• 방어 방법
  • 패치 적용: 최신 WebLogic 패치를 즉시 적용.
  • 네트워크 분리: 관리 인터페이스를 내부망에만 제한.
  • WAF/IPS: SOAP 요청 필터링 및 파일 업로드 차단 규칙 적용.

2️⃣ 웹쉘(WebShell) 업로드 및 데이터 탈취

• 웹쉘 개념
  • 웹쉘은 웹 애플리케이션에 업로드된 스크립트(예: PHP, JSP, ASP)로, 공격자가 서버를 원격에서 제어할 수 있게 한다.
• 업로드 과정
  1. 취약점 활용 – CVE‑2017‑10271을 통해 파일 쓰기 권한 확보.
  2. 파일 전송 – index.jsp 같은 파일을 임의 경로에 업로드.
  3. 실행 트리거 – 브라우저/웹 서버가 해당 파일을 실행하도록 URL 호출.
• 데이터 수집 및 전송
  1. 데이터베이스 접근 – 웹쉘 내부에서 JDBC/ODBC를 사용해 결제 테이블에 쿼리.
  2. 압축·인코딩 – tar.gz나 zip으로 대용량 데이터를 압축, Base64 인코딩.
  3. 외부 서버로 전송 – HTTPS POST/FTP/SMTP 등을 통해 외부 악성 서버에 업로드.
• 방어 팁
  • 파일 업로드 정책: MIME 타입 검증, 확장자 제한, 최대 파일 크기 설정.
  • 입출력 모니터링: iptables, fail2ban, 혹은 SIEM에서 비정상적인 파일 생성/실행 감지.
  • 데이터 전송 제한: 내부 네트워크에서 외부로의 대용량 데이터 전송을 차단하고, 로그를 보존.

요약: 공격자는 Oracle WebLogic의 취약점을 이용해 파일을 쓰고, 웹쉘을 업로드하여 결제 시스템 데이터베이스에 접근, 1.7 GB의 데이터를 외부로 유출했다. 보안팀은 패치 적용, 네트워크 분리, 파일 업로드 정책 강화로 재발 방지를 진행해야 한다.

 

출처: http://www.dailysecu.com/news/articleView.html?idxno=169283