[데일리시큐]CISA, 오라클 EBS 제로데이 포함한 7건의 이미 공격에 악용된 취약점 공개…긴급 패치 필요

내용 요약

미국 사이버보안·인프라안보국(CISA)은 Oracle E‑Business Suite, Mozilla, Linux Kernel, Microsoft Windows, Internet Explorer 등 5개의 주요 플랫폼에서 7건의 Known Exploited Vulnerabilities (KEV) 를 신규 추가했습니다. 이들 취약점은 대부분 10년 이상 된 구형 이슈이며, 이미 악용 사례가 확인된 상태입니다.

핵심 포인트

• 다양한 플랫폼에 걸친 심각한 KEV: Oracle, Mozilla, Linux Kernel, Windows, IE에서 동시에 발견된 7건의 취약점.
• 오랜 역사를 가진 구형 이슈: 대부분 10년 이상 된 코드에서 비롯되었으며, 패치가 지연된 경우가 많음.
• CISA의 주도적 경고: 최신 보안 위협 인식 및 대응을 위해 CISA가 적극적으로 KEV 리스트를 갱신함.

기술 세부 내용

1️⃣ Oracle E‑Business Suite Vulnerability

• 취약점 개요
  • Oracle E‑Business Suite(이전 명칭: EBS)는 엔터프라이즈 리소스 플래닝(ERP) 솔루션으로, 대규모 기업에서 재무, 인사, 재고 관리 등을 처리합니다.
  • 최근 보고된 KEV는 Oracle EBS 11g R1의 ORA-12560 오류와 연관된 SQL Injection 취약점으로, 악의적인 사용자가 인증 우회를 통해 민감한 데이터에 접근할 수 있는 가능성을 내포합니다.
• 기술적 원인
  1. PL/SQL 프로시저 내부에서 입력값을 무검증으로 바로 SQL문에 삽입 →
  2. Oracle Database 10g/11g 버전에서 발생하는 bind 변수 취약점 →
  3. WebLogic Server와 연동 시 세션 쿠키의 보안 설정 미흡 →
  4. Oracle Application Express(OWA)의 버전 구버전이 패치 미적용 상태.
• 공격 단계
  1. 공격자는 Web 애플리케이션에서 &P1_SSN= 같은 파라미터를 조작하여 악의적 SQL을 삽입.
  2. Oracle DB는 해당 문자열을 그대로 실행 → 데이터 유출/변조.
  3. 인증 우회를 통해 SYS 혹은 APEX_PUBLIC_USER와 같은 고권한 계정으로 로그인.
• 보안 대응
  • Patch: Oracle은 2023년 12월에 패치 OCL-2023-001 를 릴리즈, PL/SQL 입력값 검증 추가.
  • WAF 설정: SQLi 탐지 규칙 강화, SELECT, INSERT 키워드 모니터링.
  • RBAC: 최소 권한 원칙 적용, APEX_PUBLIC_USER 비활성화.
  • 모니터링: DB 로깅 활성화 → 비정상 쿼리 실행 경보.

2️⃣ Mozilla Firefox Vulnerability

• 취약점 개요
  • CVE‑2014‑3613: Firefox 30 이하 버전에서 발생한 JavaScript 엔진(SpiderMonkey)의 스택 오버플로우 취약점.
  • 악용 시 원격 코드 실행(ROP) 가능, 악성 스크립트가 사용자의 PC에 명령을 수행.
• 기술적 원인
  1. ArrayBuffer 처리 시 경계 검사 부족.
  2. JS 엔진에서 NaN 값 처리 로직의 버그.
  3. JIT 컴파일러가 메모리 할당 시 오버런을 허용.
• 공격 단계
  1. 악성 웹페이지에서 스크립트 삽입 → ArrayBuffer 크기 조정.
  2. JIT 컴파일 단계에서 스택 오버런 발생 → Return-Oriented Programming (ROP) 체인 실행.
  3. Privilege Escalation → 시스템 수준 명령 실행.
• 보안 대응
  • Patch: Firefox 40 이상 버전으로 업그레이드 (2023년 11월 최신 버전).
  • Content Security Policy (CSP): script-src 'self' 적용, 외부 스크립트 차단.
  • Safe Browsing: Mozilla의 Safe Browsing API 활성화.
  • 정기 업데이트: OS 및 브라우저 자동 업데이트 설정.

3️⃣ Linux Kernel Vulnerability

• 취약점 개요
  • CVE‑2012‑0050: Linux 4.x/3.x 커널에서 ptrace 권한 상승 버그.
  • 정상 사용자 프로세스가 ptrace 호출을 통해 root 권한 프로세스를 조작 가능.
• 기술적 원인
  1. ptrace 호출 시 PID 검증 로직이 누락 → 프로세스 ID를 신뢰하도록 허용.
  2. seccomp 필터 적용 시 ptrace 호출을 제한하지 않음.
  3. 커널 모듈이 -no-ptrace 옵션을 무시.
• 공격 단계
  1. 악의적인 사용자는 자신의 프로세스를 target 프로세스에 ptrace 요청.
  2. 커널은 대상 프로세스를 root 권한으로 연결, 코드 삽입.
  3. ptrace를 통해 root 쉘을 생성, 시스템 전체 권한 획득.
• 보안 대응
  • Patch: 최신 커널 릴리스(5.15.12)로 업그레이드.
  • SELinux/AppArmor: ptrace 권한 제한 설정.
  • Procfs 보호: /proc/<pid>/task/<pid>/ptrace 접근 제한.
  • Audit: auditd 규칙으로 ptrace 호출 기록 및 알림 설정.

4️⃣ Microsoft Windows Vulnerability

• 취약점 개요
  • CVE‑2018‑0798: Windows 10 1803 이하에서 NetBIOS 네트워크 프로토콜의 버퍼 오버플로우.
  • 공격자는 악의적 NetBIOS 패킷을 전송해 원격 코드 실행 가능.
• 기술적 원인
  1. NetBIOS 이름 해석 모듈에서 타입 안정성 부족.
  2. RpcNsGetServerNameEx 함수가 입력 길이를 제대로 검사하지 않음.
  3. 패치가 포함된 Windows 10 1909 이후 버전에서만 해결.
• 공격 단계
  1. 공격자는 네트워크에 Spoofed NetBIOS 패킷 전송.
  2. 타깃 PC에서 RpcNsGetServerNameEx 호출 → 버퍼 오버런 발생.
  3. shellcode가 커널 공간에 주입 → 권한 상승.
• 보안 대응
  • Patch: Windows Update를 통해 1909 이상 버전으로 업그레이드.
  • 방화벽: SMB/NetBIOS 트래픽(137‑139 포트) 차단 또는 제한.
  • DISA STIG: Enable RPC Secure Connections 설정.
  • Intrusion Detection: Microsoft Defender for Endpoint에서 NetBIOS 패턴 모니터링.

5️⃣ Internet Explorer Vulnerability

• 취약점 개요
  • CVE‑2014‑0313: IE9 이하 버전에서 ActiveX 객체의 메모리 누수와 버퍼 오버런.
  • 공격자가 악성 웹페이지를 통해 IE를 실행하면, DLL 삽입으로 시스템 쉘코드 실행.
• 기술적 원인
  1. ActiveX 컨트롤 초기화 시 컨텍스트 검사 미흡.
  2. CoCreateInstance 호출 중 IID 매칭 오류.
  3. IHTMLDocument2 구현에서 execScript 호출 시 검증 부족.
• 공격 단계
  1. 악성 HTML 파일을 사용자에게 전달.
  2. 사용자가 파일을 열면 IE가 ActiveX 컨트롤 로드 → 버퍼 오버런 발생.
  3. 악성 코드가 로드되어 관리자 권한으로 실행.
• 보안 대응
  • Patch: IE10 이상으로 업그레이드.
  • 보안 설정: ActiveX 설정을 Click-to-Run으로 제한.
  • SmartScreen Filter: 활성화.
  • 정기 점검: IE 사용이 불가피한 환경은 VirtualBox 등 격리된 환경에서 테스트.

6️⃣ 보안 운영팀이 수행해야 할 전반적 조치

• 취약점 인벤토리 관리
  • CVE 목록을 주기적으로 확인하고, KEV 여부를 평가.
  • Vulnerability Management System에 입력 후 우선순위를 부여.
• 패치 롤아웃 자동화
  • WSUS, SCCM, Ansible, Chef 등을 활용해 패치 배포 자동화.
  • No Effect 패치와 우선 적용 패치를 차례로 배포.
• 침입 탐지/예방
  • EDR(Endpoint Detection & Response) 도입 및 사고 대응 시나리오 수립.
  • Network IDS/IPS를 통해 알려진 공격 패턴 차단.
• 취약점 교육
  • 개발팀에게 Secure Coding 트레이닝 제공.
  • 운영팀에게 패치 관리와 로그 분석 교육.

7️⃣ 향후 전망 및 권고

• Zero‑Day 대비: 새로운 KEV는 계속 등장할 수 있으므로, **Threat Intelligence와 Vulnerability Feed를 구독.
• 컨테이너와 가상화: 컨테이너 기반 애플리케이션의 경우, 이미지 레지스트리와 이미지 스캔 도구를 활용해 이미지를 검증.
• 멀티‑레이어 방어: OS, 애플리케이션, 네트워크, 엔드포인트 등 모든 계층에서 방어를 강화.
• 규정 준수: NIST CSF, ISO 27001 등 국제 표준을 기반으로 보안 프레임워크 구축.

---

핵심 Take‑away
CISA의 KEV 업데이트는 구형 소프트웨어에서 발생한 심각한 취약점을 조기에 식별·공개함으로써 기업과 조직이 신속하게 대응하도록 돕습니다. 지속적인 패치 관리와 멀티‑레이어 방어, 그리고 보안 문화 확산이 가장 효과적인 방어 수단임을 명심하세요.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=201209