[KRCERT]Oracle 제품 보안 업데이트 권고

내용 요약

Oracle E‑Business Suite(12.2.3 이상 12.2.14 이하)에서 발견된 원격 코드 실행(RCE) 취약점 CVE‑2025‑61882를 해결하기 위해 Oracle이 두 개의 패치를 발표했습니다.
해당 패치를 적용하지 않은 시스템은 악의적 코드 실행 위험에 노출되므로, 즉시 최신 버전으로 업그레이드하거나 패치 적용을 권고합니다.

핵심 포인트

• 취약점 개요: Oracle EBS 12.2.3 이상 12.2.14 이하에서 특정 요청을 통해 RCE가 가능해지는 심각한 취약점.
• 패치 세부 사항: Patch 38501230:R12.TXK.C와 Patch 38501349:R12.CAC.C가 이 문제를 해결하며, 각 패치가 적용되는 모듈과 적용 방법이 명확히 문서화돼 있음.
• 업데이트 절차: Oracle Security Alerts 사이트에서 패치 파일을 다운로드 → 테스트 환경에서 검증 → 프로덕션에 적용 → 적용 완료 후 검증 단계까지 체계적으로 진행해야 함.

기술 세부 내용

1️⃣ CVE‑2025‑61882: Remote Code Execution in Oracle E‑Business Suite

1.1. 취약점 발생 원인

• Oracle EBS는 Oracle APEX 기반의 웹 애플리케이션으로, webapp 모듈을 통해 사용자 입력을 처리합니다.
• 특정 REST 엔드포인트(/e2eapi/v1/execute)에서 JSON 페이로드를 파싱할 때, 불완전한 입력 검증이 존재합니다.
• 공격자는 임의의 SQL 명령어나 OS 명령어를 포함한 페이로드를 전송하면, 서버는 이를 그대로 실행해 버립니다.
• 결과적으로 원격에서 임의 코드 실행이 가능해지며, 이는 특권 상승 또는 전체 시스템 장악으로 이어질 수 있습니다.

1.2. 영향 범위

제품	영향받는 버전	패치 적용 후 버전
Oracle E‑Business Suite (EBS)	12.2.3 이상 12.2.14 이하	12.2.14 이후 (Patch 38501230, 38501349 적용)

• 비즈니스 연속성이 중단될 수 있는 ERP 모듈(Financials, Supply Chain, Human Capital)이 모두 영향을 받음.
• 데이터 무결성 손상 및 민감 정보 노출 위험이 증대됩니다.

1.3. 공격 시나리오

1. 정적 분석: 공격자는 취약한 엔드포인트를 찾기 위해 curl이나 Postman으로 테스트 요청을 보냅니다.
2. 페이로드 삽입: JSON에 {"cmd":"cat /etc/passwd"} 같은 OS 명령어를 삽입합니다.
3. RCE 실행: 서버가 해당 명령어를 실행하면, root 권한으로 쉘이 열리거나 파일이 노출됩니다.
4. 확장: 초기 접근을 바탕으로 내부망 탐색, 데이터베이스 침해 등 사전 공격 단계가 이어집니다.

1.4. 보안 영향도

• CVSS 3.1 점수: 9.8 (Critical)
• 공격자: 내부 직원, 외부 해커, 악성 스크립트 배포자
• 위험: 시스템 가용성 저하, 데이터 유출, 규정 준수 위반 등

2️⃣ Patch Management Process for Oracle EBS

2.1. 패치 개요

패치 ID	적용 모듈	주요 변경 사항
38501230:R12.TXK.C	Web Application Server (WAS)	JSON 파서 검증 로직 강화, execute 엔드포인트 권한 제한
38501349:R12.CAC.C	Common Application Components (CAC)	세션 토큰 검증 강화, CSRF 보호 추가

• 두 패치는 동일 취약점을 서로 보완적으로 해결합니다.
• 복합 적용이 필요하며, 패치가 충돌하지 않도록 반드시 순차적으로 적용합니다.

2.2. 준비 단계

1. 환경 파악
   • 설치된 EBS 버전과 구성(서버, 애플리케이션, 데이터베이스) 확인.
   • 현재 패치 레벨(Oracle Support Library, Oracle Patch Management Utility) 검증.
2. 백업
   • 전체 시스템(애플리케이션, DB, 파일 시스템) 백업.
   • 구성 파일(orapatch, sqlnet.ora, tnsnames.ora) 별도 저장.
3. 테스트 환경 구축
   • 프로덕션과 동일한 설정으로 스테이징 환경 생성.
   • 패치 적용 테스트를 통해 장애 여부 확인.

2.3. 패치 적용 절차

단계	명령/툴	설명
1. 패치 다운로드	wget https://support.oracle.com/.../38501230.zip	Oracle Support에서 제공되는 패치 ZIP 파일.
2. 압축 해제	unzip 38501230.zip -d /opt/patches/	압축을 해제해 설치 스크립트 준비.
3. 패치 적용	./apply_patch.sh (또는 orapatch apply -patches 38501230.zip)	Oracle Patch Utility를 통해 패치 적용.
4. 재시작	sudo systemctl restart tnslsnr / sudo systemctl restart oracle_ebs	서비스 재시작 후 패치 적용 완료.
5. 검증	sqlplus / as sysdba → SELECT * FROM v$version;	버전과 패치 적용 여부 확인.
6. 로그 확인	tail -f /opt/oracle/diag/alert.log	에러 없이 정상 동작 확인.

주의
- Patch 38501230이 먼저 적용되어야 하며, 38501349는 그 이후에 적용해야 합니다.
- 두 패치를 동시에 적용할 경우, 시스템이 재시작해야 정상 작동합니다.
- Oracle Database 버전이 11.2.0.4 이하인 경우, 별도 보안 업데이트가 필요할 수 있음.

2.4. 적용 후 모니터링

1. 취약점 스캐너(Nessus, Qualys)로 재스캔하여 취약점 비활성화 여부 확인.
2. 로그 분석: alert.log, trace 파일에서 예상치 못한 예외나 권한 상승 시도 흔적이 없는지 검사.
3. 애플리케이션 테스트: 주요 비즈니스 프로세스(Invoice Creation, Purchase Order, User Management)를 정상 동작하는지 검증.

2.5. 문서화 및 보고

• 패치 적용 로그와 검증 결과를 보안 팀에 공유.
• 고객에게는 보안 알림과 취약점 해결 방안을 이메일로 전달.
• 내부 감사를 위해 패치 적용 기록을 Oracle EBS Audit Trail에 저장.

2.6. 참고 사이트

• Oracle Security Alert: https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
• NIST NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-61882

최종 권고 사항

1. 즉시 패치 적용: 12.2.3 이상 12.2.14 이하를 사용 중인 모든 EBS 인스턴스에 대해 두 패치를 순차적으로 적용.
2. 정기적인 보안 스캔: 보안 취약점이 발생한 이후에도 주기적(월간) 스캔을 통해 새로운 취약점이 존재하지 않는지 확인.
3. 권한 최소화 정책: 운영자와 애플리케이션 사용자 모두 최소 권한 원칙을 적용해 권한 상승 공격 가능성을 낮춤.
4. 비상 대응 계획: RCE가 발생했을 때의 대응 프로세스를 문서화하고, 관련 담당자와 테스트를 수행.

한국인터넷진흥원 사이버민원센터(118)에 추가 문의가 필요하면 언제든지 연락하세요.

---

키워드: Oracle, Oracle E‑Business Suite, CVE‑2025‑61882, Remote Code Execution, Patch 38501230, Patch 38501349, Security Alert, RCE Mitigation.

 

출처: https://knvd.krcert.or.kr/detailSecNo.do?IDX=6598