2020년 5월 19일

2020년 5월 19일 | Sree Sakamuri | 수석 솔루션 설계자

Addressing any security vulnerability warrants a holistic view to the problem, taking a surgical resolution approach that causes minimal disruption. While Oracle takes a reactive patching approach, Spinnaker Support applies a more holistic and proactive Seven-Point Security Solution. 

We know that many organisations do not immediately uptake Oracle’s new CPU patches due to logistical, commercial, or business continuity factors. This practice can expose those organisations, making them vulnerable to an exploit. For example: 

On 2020년 4월 14일, Oracle released its second-quarter Critical Patch Update (CPU), which contained fixes for 399 security vulnerabilities. Only two weeks later, Oracle’s Director of Security Assurance released a blog post advising customers not to delay applying the recently released CPU patch.  

Mention of the specific vulnerability identified as CVE-2020-2883 caught much attentionWhen Oracle releases an “emergency” blog post asking its customers to expedite a patch application, there is typically an undercurrent of concern. 

CVE-2020-2883은 원격 코드 실행(Remote Code Execution, RCE) 취약점 범주에 속합니다. 이 방법을 사용하면, 공격자는 노출된 취약점을 이용하여 원격 컴퓨터에 액세스하고 임의의 악성 코드를 실행하여 시스템을 장악함으로써 영향을 받는 전체 구성 요소/애플리케이션을 마비시킬 수 있게 됩니다. 또한 이로 인해 민감한 비즈니스 데이터가 공격자에게 노출되어 기밀성과 무결성이 심각하게 침해될 수 있습니다. 

Oracle로 하여금 블로그를 포스팅하도록 만든 계기는 무엇입니까? 

One day after the CPU was released, the proof-of-concept code to exploit this vulnerability (CVE-2020-2883) was published on GitHub. Soon after, news of exploitation attempts was rife. We believe this is what prompted Oracle to publish the advisory blog post.  

In addition to Oracle’s Apr-2020 CPU advisory post, the two trusted sources for reliable and accurate vulnerability information are the National Vulnerability Database (NVD) and Mitre. Mitre gave CVE-2020-2883 a CVSS base score of 9.8 out of 10, which is quite serious. The score is based on a combination of Confidentiality, Integrity, and Availability impacts.  

쉬운 말로 표현하자면, 이 CVE를 보안 및 데이터베이스/middleware 관리자의 악몽으로 만드는 요소들은 다음과 같습니다. 

  • 인증이 필요 없이 공격자가 원격으로 이 취약점을 악용 가능하다. 
  • 공격자는 특수한 액세스 조건이나 적절한 상황을 준비하지 않고서도 이 취약점을 악용하는 데 성공할 수 있다. 
  • 일단 악용되고 나면, 이로 인해 영향을 받는 구성 요소/애플리케이션의 기밀성, 무결성 및 가용성이 완전히 상실되는 결과로 이어진다. 

이 취약점의 영향을 받는 제품은 버전 10.3.6, 12.1.3, 12.2.1.3 및 12.2.1.4 Oracle WebLogic Server이며, WebLogic의 독점 RMI 프로토콜인 T3 프로토콜을 통해 노출됩니다. 이는 내부 및 외부 서비스와의 사이에 이루어지는 WebLogic의 커뮤니케이션에서 중요한 구성 요소입니다. 이 프로토콜은 WebLogic Server 에코시스템의 구성 요소 간에 트래픽을 전달하는 역할을 합니다. 

HTTP와 마찬가지로, T3는 안전하지 않습니다 

외부 소스로부터의 HTTP 트래픽을 허용하는 것은 보안 모범 사례아닙니다.  원칙은 T3에도 동일하게 적용됩니다. T3에도 T3S라는 이름의 SSL에 상응하는 요소가 있습니다. T3S는 SSL 인증서를 사용하여 HTTPS와 유사한 방식으로 트래픽을 암호화하는 T3의 보안 버전입니다.  

인터넷을 통해 들어오는 모든 T3 트래픽을 비활성화하는 것이 바람직하겠지만, 주의가 필요한 다른 문제도 있습니다. 예를 들어, 이러한 트래픽에 방화벽 수준의 차단 기능이 작동하더라도, T3 요청이 HTTPS 요청으로 포장된 채 조직의 내부 인프라로 숨어들어올 가능성은 여전히 남아 있습니다. 

Unfortunately, there is no silver bullet for issues like thisWhile organisations must follow industry best practices to bolster their security landscape, they also must maintain business continuity. 

취약 지점을 울타리로 완전히 감싸고 일관된 방식으로 취약성을 줄이기 위해서는 다원화된 전략을 채택해야 합니다.: 

  1. 외부 소스로부터 HTTP/T3 트래픽이 허용되면? 방화벽 단계에서 막습니다. 
  2. Thawte, Verisign, Entrust와 같은 잘 알려진 인증 기관(CA)을 이용하여 SSL 인증서를 확보한 다음 T3S/HTTPS를 사용하여 귀사의 시스템 환경을 보호하십시오. 
  3. 방화벽 이외에도, 외부 소스의 HTTPS/T3S 트래픽만 허용하도록 사용자 맞춤형 네트워크 채널을 만들 수 있습니다. 
  4. T3 트래픽이 HTTPS 프로토콜로 숨어드는 것을 피하려면 정의된 네트워크 채널에서 터널링을 비활성화하십시오.
    1. a. 서버 -> 프로토콜 -> 채널을 선택합니다. 
    2. 채널을 선택합니다. 
    3. 터널링 활성화(Tunneling Enabled)’ 체크박스를 해제합니다. 
    4. 저장하고 변경 사항을 적용합니다. 
    5. 서버를 재시작합니다. 
  5. 방화벽 수준에서 HTTP/T3를 비활성화할 수 없는 경우, WebLogic 연결 필터 (weblogic.security.net.ConnectionFilterImpl)와 IP 화이트리스팅(방화벽)을 함께 조합하여 외부 및 내부 소스의 액세스를 제한/거부할 수 있습니다. 

Critical CVEs are never going away, and the best solutions are often already built into the softwareIn this case, we recommend using the less known – but powerful – features of WebLogic to further secure your environments. Some of these include: 

  • 페리미터 인증(SAML 및 SPNEGO) 
  • 프록시, 방화벽 및 로드 밸런서의 조합 
  • 커스텀 JEP 290 역직렬화 필터 

결론 

Security and vulnerability management come standard with Spinnaker Support’s third-party software support. We help our customers with specific CVEs, critical issues, and long-term approaches to security. Learn more about our industry-leading Seven-Point Security Solution. 

Powered by Translations.com GlobalLink OneLink SoftwarePowered By OneLink