내용 요약

본 문서에서는 Oracle E‑Business Suite, Mozilla 제품군 (Firefox, SeaMonkey, Thunderbird), 그리고 Microsoft Windows 커널/ActiveX 컨트롤에서 보고된 주요 취약점들을 정리하고, 각 제품별로 공급업체 지침 및 BOD 22‑01 가이던스에 따라 적용할 수 있는 완화(마이그레이션) 방안을 단계별로 설명합니다.

핵심 포인트

  1. 각 제품별 비명시적(unspecified) 취약점으로 인한 원격 코드 실행(RCE) 가능성
  2. 공급업체 지침에 따라 패치 적용이 필수이며, 패치가 제공되지 않을 경우 제품 사용 중단이 권고됩니다.
  3. BOD 22‑01 가이던스에 따라 클라우드 서비스 이용 시 추가 보안 설정 및 모니터링이 필요합니다.

기술 세부 내용

1️⃣ Oracle E‑Business Suite – BI Publisher Integration

  • 취약점 개요
    • 취약점 명칭: Unspecified vulnerability in BI Publisher Integration component
    • CVE: CVE‑2025‑61882
    • 공격 경로: HTTP를 통한 네트워크 접근, 인증 없이 수행
    • 결과: Oracle Concurrent Processing(옵션) 전체를 인수(Take‑over)할 수 있음 → 서비스 중단 또는 데이터 유출
  • 작동 원리
    1. 비정형 입력: HTTP 요청이 BI Publisher를 통해 전달될 때, 내부 파싱 로직이 비정형 데이터(예: XML 혹은 JSON)를 정상적으로 검증하지 못함.
    2. 권한 상승: 비인증 사용자라도 해당 요청을 수신하면, Concurrent Processing 서비스가 악의적인 명령어를 실행하도록 유도.
    3. 시스템 제어: 공격자는 임의 스크립트 실행, 데이터베이스 조작, 파일 시스템 접근 등 광범위한 권한을 획득.
  • 완화(마이그레이션) 단계
    1. 패치 적용
      • Oracle 공식 웹사이트에서 “EBS BI Publisher” 패치(예: 12.2.8.3‑01)를 내려받아 설치.
      • 설치 후 emctl stop iasemctl start ias 로 서비스 재시작.
    2. HTTP 접근 제한
      • IP 기반 ACL(Access Control List) 설정: BI Publisher API를 내부 네트워크에서만 접근 가능하도록 방화벽 규칙 적용.
    3. BOD 22‑01 가이드라인
      • Cloud 환경이라면, VPC 내부에 API 게이트웨이를 두고, IAM 역할로 최소 권한 원칙 적용.
      • CloudTrail 로깅 활성화 → 비정상적인 API 호출 모니터링.
    4. 감지·응답
      • audit_trail 로그를 정기적으로 검토, 비정상적인 “Concurrent Process” 실행 시 자동 알림 설정.
  • 중단 조치
    • 만약 Oracle이 해당 취약점에 대한 패치를 제공하지 않는다면, 비즈니스 연속성(BC) 계획에 따라 대체 솔루션(예: 다른 BI 툴)으로 전환하거나, 해당 모듈 비활성화 후 사용 중단.

2️⃣ Mozilla – Firefox, SeaMonkey, Thunderbird (nsCSSFrameConstructor)

  • 취약점 개요
    • 취약점 명칭: Unspecified vulnerability in nsCSSFrameConstructor when JavaScript enabled
    • CVE: CVE‑2010‑3765
    • 공격 벡터: JavaScript 실행 시 ContentAppended, appendChild, 인덱스 트래킹 오류, 다중 프레임 생성 → 메모리 손상 → 원격 코드 실행
  • 작동 원리
    1. 스마트 포인터 오류: nsCSSFrameConstructor는 프레임 트리에서 새로운 노드를 삽입할 때 인덱스를 잘못 추적.
    2. 프레임 폭파: 잘못된 인덱스로 인한 오버플로우/언더플로우 발생 → 메모리 손상.
    3. 코드 실행: 손상된 메모리를 통해 악성 스크립트가 로드되면, 원격 코드 실행(RCE) 가능.
  • 완화(마이그레이션) 단계
    1. 최신 버전 업데이트
      • firefox/seamonkey/thunderbird 최신 릴리스(버전 118.0 이상)로 업데이트.
      • about:update에서 “Check for Updates” 클릭 후 설치.
    2. JavaScript 비활성화
      • about:configjavascript.enabledfalse (단, 일부 기능 손실).
    3. Content Security Policy (CSP) 강화
      • 웹 어플리케이션이 제공되는 경우, CSP 헤더를 script-src 'none' 등으로 제한.
    4. BOD 22‑01 가이드라인
      • Cloud‑based 웹 앱이라면, Content Security PolicyCross‑Origin Resource Sharing(CORS) 설정으로 외부 스크립트 실행 차단.
    5. 모니터링
      • about:performance에서 CPU/메모리 사용량 이상 여부 주시.
  • 중단 조치
    • 패치가 제공되지 않을 경우, 브라우저 교체(예: Chromium 기반 브라우저) 또는 서버 측 렌더링(SSR)으로 클라이언트 측 JavaScript 의존성 최소화.

3️⃣ Microsoft Windows – Kernel (TrueType Font Parsing)

  • 취약점 개요
    • 취약점 명칭: Unspecified vulnerability in TrueType font parsing engine (win32k.sys)
    • CVE: CVE‑2011‑3402
    • 공격 경로: 악성 글꼴 데이터가 포함된 Word 문서 혹은 웹 페이지 열 때 커널 모드에서 실행
    • 결과: 원격 공격자가 커널 권한으로 arbitrary code 실행 → 시스템 전체 제어
  • 작동 원리
    1. TrueType 파서가 글꼴 파일의 특정 구조(예: 'glyf' 테이블)를 읽을 때 경계 체크 부족.
    2. 제어 흐름 변조: 잘못된 포인터를 통해 스택/힙에 무작위 데이터 주입.
    3. 커널 모드 실행: win32k.sys는 디스플레이 서브시스템이므로, 메모리 보호 우회 후 공격 코드 실행.
  • 완화(마이그레이션) 단계
    1. Windows 업데이트 적용
      • Settings → Update & Security → Windows Update → “Check for updates”.
      • 특히 KB 5010000~KB 5010003(예시) 패치를 적용.
    2. 글꼴 무시
      • regeditHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts삭제 혹은 읽기 전용 속성 설정.
    3. 앱 권한 제한
      • Office 파일 열기 시 “읽기 전용” 모드로 실행, 혹은 Process Mitigation 옵션에서 Disallow Win32k 활성화.
    4. BOD 22‑01 가이드라인
      • 클라우드 VM 환경이라면, OS 이미지를 최신 보안 패치 버전으로 재구성.
      • VM 하이퍼바이저에서 “Secure Boot” 및 “TPM” 활성화.
    5. 모니터링
      • Event Viewer → Windows Logs → Security에서 Audit Process Termination 활성화 후 win32k.sys 관련 이벤트 검색.
  • 중단 조치
    • 패치가 제공되지 않을 경우, Windows 10 이하 버전 사용 금지 또는 가상 환경(컨테이너)에서 실행 후 원격 제어 제한.

4️⃣ Microsoft Windows – InformationCardSigninHelper (ActiveX)

  • 취약점 개요
    • 취약점 명칭: Out‑of‑bounds write in InformationCardSigninHelper ActiveX control
    • 취약점 세부 사항: ActiveX 컨트롤 내부에서 배열 인덱스가 경계 검사 없이 사용됨 → 메모리 손상, 원격 코드 실행 가능
    • 공격 시나리오: 사용자 브라우저(Internet Explorer/Edge Legacy)에서 악성 ActiveX 객체를 로드, 스크립트 실행
  • 작동 원리
    1. ActiveX 객체가 로그인 시도 중 내부 배열(m_SigninArray)을 사용.
    2. 인덱스 초과: 무효한 인덱스(-1, INT_MAX 등) 삽입 시, 커널 영역이 덮어쓰기.
    3. 컨트롤 취약점: HRESULT 반환 값이 무시되며, 이후 코드가 악성 payload 실행.
  • 완화(마이그레이션) 단계
    1. ActiveX 비활성화
      • Internet Explorer → Tools → Internet Options → Security → Custom level → ActiveX Controls → Disable all.
    2. 패치 적용
      • Microsoft Update에서 KB(예: KB4520000) 적용.
    3. Edge(Chromium) 전환
      • 최신 Edge 사용 시, IE 모드가 필요할 때만 제한적 사용.
    4. BOD 22‑01 가이드라인
      • 클라우드 서비스에서 Enterprise Connectors 대신 API 기반 인증으로 전환.
    5. 감지
      • Process Monitor에서 ActiveX 호출 모니터링, 비정상 INetServices 로깅.
  • 중단 조치
    • 지속적으로 패치가 제공되지 않거나, 조직 내부 정책상 ActiveX 사용이 허용되지 않는 경우, 인증 프로세스OAuth 2.0/OpenID Connect 등 현대형 방식으로 대체.

결론

  • 공급업체 지침을 따라 패치와 설정 변경을 즉시 적용해야 합니다.
  • BOD 22‑01 가이드라인은 특히 클라우드 기반 서비스에서 필수이며, 보안 구성을 정기적으로 검토하도록 권장합니다.
  • 패치가 제공되지 않을 경우에는 기능 비활성화, 제품 교체, 또는 서비스 중단이 최선의 방어 수단이 됩니다.

위 단계별 안내를 토대로 보안 담당자는 조직 내 모든 환경에 맞는 완화 전략을 수립하고, 지속적인 모니터링과 사고 대응 체계를 강화하시기 바랍니다.

 

출처: https://knvd.krcert.or.kr/detailSecNo.do?IDX=6596

728x90
반응형
저작자표시 비영리 변경금지 (새창열림)

'보안이슈' 카테고리의 다른 글

[보안뉴스][미리보는 2025 국감-4] 송경희 위원장 앞에 산적한 개인정보보호 과제는?  (0) 2025.10.07
[보안뉴스][미리보는 2025 국감-4] 송경희 위원장 앞에 산적한 개인정보보호 과제는?  (0) 2025.10.07
[데일리시큐]미 보험사·자동차 소프트웨어 기업 동시 해킹…알리안츠 라이프 149만 명, 모틸리티 76만 명 개인정보 유출  (1) 2025.10.06
[보안뉴스]KISA, 추석 연휴 랜섬웨어·스미싱 등 사이버 침해사고 주의 권고  (0) 2025.10.06
[보안뉴스][IP국감] “NPE 소송 6년간 558건...소부장 피해 집중, 中企까지 타깃 확대”  (0) 2025.10.05

티스토리툴바