[롯데카드 해킹] CVE-2017-10271 취약점 분석 리포트

CVE-2017-10271 취약점 분석 리포트

Oracle WebLogic WLS Security 구성요소 XMLDecoder 역직렬화 RCE에 대한 기술 분석, 노출 지표, 탐지·대응 및 완화 가이드라인을 제공한다.

요약 및 핵심 지표

CVE

CVE-2017-10271

공격벡터: Network 권한: None 사용자상호작용: None 영향: RCE

WLS Security의 CoordinatorPortType에 대한 XML 역직렬화 취약점으로 원격 코드 실행이 가능하다.

CVSS v3.1 (NVD)

7.5 High

벡터: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H (가용성 고위험).

EPSS (30일)

94.44%

단기 악용 확률이 매우 높은 취약점으로 분류된다.

CISA KEV

Known Exploited

CISA KEV 목록에 등재된 실제 악용 취약점으로 패치 준수가 요구된다.

영향 버전

10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0이 영향받는다.

패치 제공

Oracle Critical Patch Update 2017-10-18로 해당 취약점이 해결되었으며 최신 버전 적용이 권고된다.

대표 취약 URI

/wls-wsat/CoordinatorPortType 등 WLS-WSAT 엔드포인트가 표적화된다.

기술 분석

해당 취약점은 WebLogic WLS Security의 CoordinatorPortType 웹서비스가 Java XMLDecoder를 통해 불신 입력을 역직렬화하면서 임의 객체 생성 및 메소드 호출을 허용하는 데서 비롯된다.

공격자는 특수 제작된 SOAP/XML 요청을 전송하여 서버 권한 범위에서 원격 코드 실행을 달성할 수 있으며 공개 PoC가 존재해 재현이 용이하다.

공격 트래픽은 보통 HTTP POST로 전송되며 페이로드에 java.beans.XMLDecoder 문자열이 포함되고 WLS-WSAT 관련 경로를 대상으로 한다.

컴포넌트: WLS Security 서비스: CoordinatorPortType 기법: XML 역직렬화 결과: RCE

공격 표면 및 엔드포인트

다음 WLS-WSAT 관련 엔드포인트가 현장에서 취약점 대상 경로로 확인되었다.

• /wls-wsat/CoordinatorPortType
• /wls-wsat/CoordinatorPortType11
• /wls-wsat/ParticipantPortType, /ParticipantPortType11
• /wls-wsat/RegistrationPortTypeRPC, /RegistrationPortTypeRPC11
• /wls-wsat/RegistrationRequesterPortType, /RegistrationRequesterPortType11

사전 스캔은 TCP 80, 443, 7001, 8080, 8888, 9000 등 WebLogic 서비스 노출 포트를 대상으로 관찰되었다.

관찰된 악용 및 침해 지표(IOCs)

취약점을 통한 침해 후 Monero 채굴기가 투하·실행되며 시스템 CPU 점유율 급증, 디렉터리 내 log.txt 생성, 채굴풀과의 지속적인 JSON 통신이 관찰된다.

• 프로세스 이상: java.exe 하위에서 Powershell이 비정상 기동되는 행위 및 WebLogic 계정으로 고점유 프로세스.
• 네트워크: pool.supportxmr.com:3333로의 장기 연결 및 로그인/패스 파라미터 포함 JSON 교환.
• 파일 아티팩트: 설치 경로에 log.txt 생성 및 채굴기 상태/속도 기록.
• 웹로그: POST /wls-wsat/CoordinatorPortType 요청 후 HTTP 500 응답 및 python-requests User-Agent 흔적.
• 사전 스캔/공격 인프라: 다양한 스캐너 및 다운로드 호스트가 캠페인에서 보고됨.

2017년 10월부터 코인마이너 심는 침해가 다수 관찰되었고 실제 악용 리포트가 접수된 바 있다.

탐지 가이드

웹 계층에서 WLS-WSAT 경로로의 POST 요청과 본문 내 java.beans.XMLDecoder 문자열, SOAP WorkContext 헤더 존재 여부를 서명기반으로 탐지한다.

• URI 패턴: ^/wls-wsat/(Coordinator|Participant|Registration).+PortType(11)?
• 메서드/본문: POST + text/xml 내 java.beans.XMLDecoder 및 ProcessBuilder 흔적.
• User-Agent: python-requests 등 비정상 UA와의 상관분석.

네트워크 계층에서는 채굴풀 도메인/포트(예: pool.supportxmr.com:3333) 및 장기 지속 연결을 탐지·차단한다.

호스트 계층에서는 java.exe의 비정상 자식 프로세스(Powershell/쉘) 생성과 급격한 CPU 사용량 스파이크를 행위 기반으로 탐지한다.

아래 예시 Snort 룰은 공개 PoC 기반 페이로드 탐지에 효과적이며 우회 가능성을 고려해 보완 룰과 함께 운용해야 한다.

alert tcp any any -> $HOME_NET $HTTP_PORTS (
  msg:"WebLogic CVE-2017-10271 wls_CoordinatorPortType RCE";
  flow:to_server,established;
  content:"/wls-wsat/CoordinatorPortType";
  content:"java.beans.XMLDecoder";
  content:"<string";
  http_client_body; nocase; fast_pattern:only;
  reference:cve,cve-2017-10271; sid:2024228; rev:2;
)

상용 WAF의 커스텀 서명으로 URL= /wls-wsat/CoordinatorPortType, 메서드= POST, 본문 키워드= java.beans.XMLDecoder 조합을 차단 조건으로 적용할 수 있다.

완화 및 하드닝

가장 효과적인 대응은 Oracle Critical Patch Update(2017-10-18 및 이후)를 적용해 해당 취약점이 제거된 최신 WebLogic 버전으로 신속히 업그레이드하는 것이다.

운영 중 WLS-WSAT 기능을 사용하지 않는 경우 관련 컴포넌트/엔드포인트를 비활성화·차단하여 공격면을 축소한다.

경계에서 /wls-wsat/* 경로 POST 요청을 기본 차단하고 필요시 예외 허용 방식으로 전환하며 WAF 커스텀 시그니처를 병행한다.

패치 전 이행 불가 시 네트워크 분리, 인터넷 노출 포트 최소화(7001, 8080 등) 및 취약 URI 접근 제어로 악용 난이도를 높인다.

사고 대응 체크리스트

• 격리: 의심 노드를 즉시 네트워크에서 분리하고 외부로의 3333/TCP 및 알려진 공격 인프라 통신을 차단한다.
• 근절: 채굴기 바이너리·지속화 스크립트 제거, 비정상 자식 프로세스 종료 및 계정·자격증명 점검을 수행한다.
• 복구: Oracle CPU 적용 후 서비스 재가동, 구성 점검 및 취약 엔드포인트 비활성화 여부를 검증한다.
• 사후 모니터링: 웹로그/프록시에서 /wls-wsat/* 접근과 XMLDecoder 패턴, 채굴풀 트래픽 재발 여부를 2주 이상 모니터링한다.

타임라인

2017-06-21: CVE-2017-10271 등록 및 공개 정보 정리 시작.

2017-10-18: Oracle Critical Patch Update로 취약점 패치 제공.

2017-12: 공개 PoC 및 분석 게시로 악용 가속.

2018-01: 코인마이너 심는 침해 다수 보고 및 권고 발행.

2022-02-10: CISA KEV 목록 등재로 시급 패치 권고.

부록: 버전/지표 시각화

버전 영향 및 위험 지표를 한눈에 파악할 수 있도록 점수·상태를 시각화한다.

CVSS v3.1

7.5 / 10 — AV:N, AC:L, PR:N, UI:N, S:U, C:N, I:N, A:H.

EPSS (30일)

94.44% — 단기 악용 확률 상위권.

CISA KEV

실제 악용

패치 SLA 적용 대상.

영향 버전

10.3.6.0.0 12.1.3.0.0 12.2.1.1.0 12.2.1.2.0

상기 버전은 패치 이전 상태로 노출되며 최신 릴리스로 업그레이드 필요.

참고 자료

• CYBERONE, Oracle WebLogic 취약점(CVE-2017-10271) 통한 암호화폐 채굴 악성코드 유포 보고서.
• JPCERT/CC, Alert Regarding CVE-2017-10271 in Oracle WebLogic Server.
• NVD, CVE-2017-10271 Detail 및 CISA KEV 표시.
• CVE Details, CVSS/EPSS/참조 링크 종합 정리.
• F5, WLS Security Component RCE 분석 및 완화 권고.
• REN-ISAC, WebLogic 취약점 악용 비트코인 마이너 공격 경보.
• GitHub, 취약 URI 목록 포함 PoC/스캐너 자료.
• Citrix NetScaler, CVE-2017-10271 차단용 AppFirewall 커스텀 시그니처 예시.
• SecuritySE 블로그, WLS-WSAT 미사용 시 제거 권고 및 개요.