2021-01-27 07:15 (수)
[긴급] DarkIRC 봇넷, 오라클 웹로직 서버 보안취약점 악용해 적극 공격…주의
상태바
[긴급] DarkIRC 봇넷, 오라클 웹로직 서버 보안취약점 악용해 적극 공격…주의
  • 길민권 기자
  • 승인 2020.12.02 14:51
이 기사를 공유합니다

오라클 웹로직 서버 3천개 이상 위협에 노출
악성코드 DarkIRC, 블랙마켓서 75달러에 판매되고 있고 공격코드도 공개돼

DarkIRC 봇넷 운영자가 최근 오라클 웹로직(Oracle WebLogic)의 심각한 원격코드 실행(RCE) 취약점 ‘CVE-2020-14882’를 적극적으로 공격에 활용하고 있는 것으로 조사됐다.

쇼단으로 조사한 결과, 온라인에 노출 된 오라클 웹로직 서버가 3천개가 넘는 수준이다.

해외 보안전문가들은 DarkIRC 봇넷이 CVE-2020-14882를 악용하기 위해 노출 된 수천 개의 Oracle WebLogic 서버를 타깃으로 삼고 있다고 전하며 주의를 당부했다.

공격자는 CVE-2020-14882 취약점을 활용해 간단한 HTTP GET 요청을 전송해 시스템을 장악할 수 있어 각별히 주의해야 할 상황이다.

이 취약점은 위험도 10점 만점에 9.8점을 기록했으며 오라클은 지난 10월 CPU (Critical Patch Update)에서 패치했다.

취약점은 오라클 웹로직 서버 버전 △10.3.6.0.0, △12.1.3.0.0, △12.2.1.3.0, △12.2.1.4.0 및 △14.1.1.0 등에 영향을 준다.

한편 주니퍼 연구원들은 “CVE-2020-14882 취약점을 활용한 오라클 웹로직에 대한 적극적인 공격을 감지했다. 이 취약점이 성공적으로 악용되면 인증되지 않은 원격코드 실행을 허용한다”며 “쇼단을 활용해 조사한 결과 현재 3천109개의 개방형 오라클 웹로직 서버를 발견했다. 위험한 상황이다”라고 경고했다.

이어 "오라클 웹로직 서버를 타깃으로 하는 봇넷 악성코드 DarkIRC가 블랙마켓에서 약 75달러에 판매되고 있는 것도 확인했다”며 “DarkIRC 악성코드는 탐지를 회피하는 기능과 타깃 서버의 환경을 파악하고 비트코인을 가로채는 기능도 작동한다.

지난 10월에는 CVE-2020-14882 취약점에 대한 익스플로잇 코드가 공개된 바 있으며 11월에는 해당 취약점을 악용한 랜섬웨어 공격도 확인됐다.

오라클 웹로직 서버 사용자는 각별히 주의해야 하며 최신 보안업데이트를 적용해야 안전할 수 있다.

★정보보안 대표 미디어 데일리시큐!★