내용 요약
CISA가 2025년 10월에 Adobe Experience Manager(Adobe AEM Forms on JEE)의 치명적 RCE 취약점 CVE‑2025‑54253을 KEV(Known Exploited Vulnerabilities) 카탈로그에 등재했습니다. 연방·민간 기관(FCEB)에는 2025년 11월 5일까지 보안 패치를 적용하도록 권고되었으며, 이 취약점은 인증 절차 없이 원격에서 임의 코드를 실행할 수 있습니다.
핵심 포인트
- CVE‑2025‑54253: CVSS 10.0 점의 무인증 원격 코드 실행(RCE) 취약점.
- CISA KEV 등재: 실제 악용 사례가 확인된 경우 정부 기관이 우선 보안 패치를 적용해야 함.
- Adobe AEM Forms on JEE: 엔터프라이즈 수준의 콘텐츠 관리 시스템에서 JEE(Java Enterprise Edition) 기반으로 운영되는 AEM의 폼 서비스 모듈.
기술 세부 내용
1️⃣ Adobe Experience Manager (AEM) Forms on JEE
AEM은 Adobe가 제공하는 엔터프라이즈 콘텐츠 관리 시스템(Enterprise Content Management, ECM)입니다. AEM Forms on JEE는 Java 기반의 서블릿 컨테이너에서 실행되는 폼 처리 모듈로, 대량의 사용자 데이터를 수집하고 저장, 검증하는 기능을 제공합니다.
1️⃣ 단계별 구성
- Web Server & JEE 컨테이너
- Apache Tomcat, Jetty, WebSphere 등 JEE 호환 컨테이너에 AEM 모듈 배포.
WEB-INF/classes와WEB-INF/lib에 배포된 JAR 파일로 기능 확장.
- Form Service
FormEngine을 통해 폼 정의(*.xml,*.json)를 파싱.FormProcessor가 입력 데이터를 검증, 저장, 후속 워크플로우를 트리거.
- Security Layer
- 인증(
Sling Authentication) 및 권한(Sling Authorization)을 JCR(Java Content Repository) 기반 ACL에 저장. Sling Authentication은org.apache.sling.security.impl모듈을 통해 세션 기반 인증을 제공.
- 인증(
2️⃣ 핵심 개념
- Osgi (Open Services Gateway initiative): AEM은 OSGi 기반으로 모듈을 로드하고,
BundleContext를 통해 동적으로 서비스 인스턴스를 주입. - Sling: AEM 내부에 사용되는 웹 프레임워크로, 자원(Resource) 기반 URL 매핑을 수행.
- CRX/DE (Content Repository eXperience/Developer Environment): AEM의 파일 시스템이 JCR (Java Content Repository) 표준을 따름.
2️⃣ CVE‑2025‑54253: Remote Code Execution Vulnerability
CVE‑2025‑54253은 AEM Forms on JEE에서 특정 HTTP 요청을 처리하는 과정에서 인증 없이 무제한 스크립트 실행이 가능한 취약점입니다.
1️⃣ 취약점 발생 원인
- Form Engine Input Parsing
- 폼 데이터가
multipart/form-data형태로 전송될 때,FormEngine이 파일 스트림을 파싱하는 로직에서 검증 부재.
- 폼 데이터가
- ClassLoader Abuse
ClassLoader를 이용해 동적으로 클래스 로딩을 수행하는 코드가 존재하며, 입력값이 해당 클래스 로딩을 트리거하도록 설계된Payload가 허용됨.
- No Authentication Check
- 특정 엔드포인트(
POST /form/submit)에 인증이 요구되지 않아, 외부 공격자가X-Forwarded-For등 헤더를 조작해 내부 로직을 우회 가능.
- 특정 엔드포인트(
2️⃣ 공격 시나리오
| 단계 | 공격 흐름 | 목표 |
|---|---|---|
| 1 | HTTP 요청 생성 | Content-Type: multipart/form-data로 payload.jar 업로드. |
| 2 | Class Loading Trigger | FormEngine이 업로드 파일을 클래스 형태로 로딩. |
| 3 | 코드 실행 | 악성 클래스가 시스템 쉘 명령을 실행하거나, RCE를 통해 bash 쉘을 노출. |
| 4 | 권한 상승 | AEM 인스턴스가 SYSTEM 권한을 가지므로, 내부 DB, 파일 시스템 접근 가능. |
3️⃣ 영향 범위
- 인증이 필요 없는 엔드포인트를 통해 누구나 접근 가능 → 공개 서비스가 가장 위험.
- AEM 인스턴스가
admin또는SYS계정으로 실행 중인 경우, 공격자는 전체 시스템에 대한 완전한 제어가 가능. - 데이터 유출, 서비스 중단(SDoS), 악성 코드 배포 등 다양한 부정 행위 가능.
4️⃣ CVSS 점수
- Base Score: 10.0 (Critical) – 무인증, 완전한 RCE 가능성.
- Attack Vector: Network (N) – 원격으로 접근 가능.
- Attack Complexity: Low (L) – 인증 필요 없음.
- Privileges Required: None (N) – 인증 절차를 우회.
3️⃣ CISA KEV Catalog & FCEB 보안 요구사항
CISA는 Known Exploited Vulnerabilities (KEV) 카탈로그를 운영하며, 이미 실제 공격에서 악용된 취약점을 우선적으로 관리하도록 권고합니다.
1️⃣ KEV 등재 절차
- 취약점 식별 → NVD 또는 Vendor Disclosure를 통해 CVE 등록.
- 악용 가능성 확인 → MITRE, SANS, 보안 연구기관이 실제 악용 사례를 보고.
- CISA 승인 → “CISA Vulnerability Management” 팀이 최종 등재 여부 결정.
2️⃣ FCEB(Federal CISA Enterprise Board) 권고
- 패치 적용 기한: 2025년 11월 5일 이전에 모든 연방·민간 기관이 패치를 적용하도록 강제.
- 보안 조치:
- 환경 격리 –
form/submit엔드포인트를 내부 네트워크 또는 프록시 뒤에 두고, 외부 직접 접근 차단. - WAF 적용 –
WAF(Web Application Firewall)에서multipart/form-data필터링 및X-Forwarded-For검증. - 로깅 강화 –
FormEngine로그를 보안 이벤트 모니터링 솔루션에 연결.
- 환경 격리 –
3️⃣ 패치 배포 시 고려사항
- 버전 호환성: AEM 6.5.x → 6.5.12, AEM 6.3.x → 6.3.18 등 최신 패치 버전 확인.
- 테스트 단계:
- Unit Test –
FormEngine모듈을 단위 테스트로 검증. - Integration Test – 실제 폼 제출 흐름을 시뮬레이션.
- Staging – 가용성 테스트 및 롤백 계획 수립.
- Unit Test –
4️⃣ 대응 방안: 패치 적용 & 보안 강화
1️⃣ 패치 적용 단계
| 단계 | 작업 | 비고 |
|---|---|---|
| 1 | 백업 | 전체 AEM 데이터베이스 및 파일 시스템을 Snapshot. |
| 2 | 패치 다운로드 | Adobe의 공식 패치(Adobe Experience Manager Security Update) 확인. |
| 3 | 배포 준비 | 테스트 환경에 먼저 적용 후, system.properties 파일을 검토. |
| 4 | 프로덕션 적용 | 다운타임 최소화(Blue/Green 배포)로 패치 설치. |
| 5 | 검증 | RCE 테스트 케이스를 통해 취약점이 제거되었는지 확인. |
| 6 | 모니터링 | access.log, error.log를 실시간 모니터링, 알람 설정. |
2️⃣ 보안 모범 사례
- Least Privilege: AEM 서비스 계정이 필요한 최소 권한만 갖도록 설정.
- Input Validation: 모든 사용자 입력에 대해 엄격한 스키마 검증을 적용.
- TLS: HTTPS만 허용, 내부 네트워크에서도 강력한 암호화 프로토콜 사용.
- 정기 감사: OWASP ZAP, Burp Suite 등을 사용해 정기적으로 스캔.
- 사고 대응 계획: RCE가 발생했을 때 신속히 시스템을 격리하고, 포렌식팀과 협력하여 악성 코드 분석.
3️⃣ 추가 방어 레이어
- WAF Rules:
multipart/form-data크기 제한 (예: 5MB 이하).Content-Type이application/octet-stream인 요청 차단.X-Forwarded-For헤더의 유효성 검사(내부 IP인지 확인).
- API Gateway:
POST /form/submit요청을 프록시하고, 토큰 기반 인증을 추가.Rate Limiting을 적용해 DoS 공격 방어.
- Runtime Protection:
AppArmor,SELinux등 프로세스 격리 설정.- Java
SecurityManager를 활성화해 파일 시스템 접근 제한.
정리
- CVE‑2025‑54253은 Adobe AEM Forms on JEE에서 인증 없이 RCE를 유발하는 심각한 취약점으로, CISA KEV 카탈로그에 등재되었습니다.
- 연방·민간 기관은 2025년 11월 5일 이전에 패치를 적용해야 하며, WAF, API Gateway, 로깅 강화와 같은 추가 방어 레이어를 구축해야 합니다.
- 패치 적용은 신중히 테스트하고, Least Privilege 및 Input Validation 같은 보안 모범 사례를 병행하면, AEM 환경의 안정성과 보안성을 크게 향상시킬 수 있습니다.
추가 자료
- Adobe AEM 보안 업데이트 문서 (Adobe Support Site)
- CISA KEV 카탈로그 (https://www.cisa.gov/kev)
- OWASP AEM Security Best Practices (https://owasp.org/www-project-attack-patterns)
출처: https://www.dailysecu.com/news/articleView.html?idxno=201442
728x90
반응형
'보안이슈' 카테고리의 다른 글
| [데일리시큐][국감] 한국항공우주연구원 퇴직 예정자, 주말에 연구용 PC 외부 반출…기관은 45일간 몰라 (0) | 2025.10.17 |
|---|---|
| [데일리시큐]누리랩, 9월 피싱주의보 124건 발령…메신저 사칭, 사기성 사이트 기승 (1) | 2025.10.17 |
| [데일리시큐][보안칼럼] 클라우드네트웍스가 제안하는 AI 시대 보안 전략 (0) | 2025.10.17 |
| [데일리시큐][단독] “SK쉴더스 해킹해 24GB 내부 데이터 확보”…신생 해커그룹 ‘블랙 슈란탁’ 주장…공급망 보안위협↑, SK계열사 각별히 주의 (0) | 2025.10.17 |
| [데일리시큐]국정원, 온나라시스템 정교한 해킹 침투 확인…“행정망 인증체계 허점 악용” (0) | 2025.10.17 |