728x90
반응형
내용 요약
2025년 상반기에 Oracle E‑Business Suite, Microsoft Windows SMB Client, Kentico Xperience CMS에서 각각 원격 코드 실행, 권한 상승, 인증 우회가 가능한 심각한 취약점이 보고되었습니다. 각 제품은 CVE‑2025‑61884, CVE‑2025‑33073, CVE‑2025‑2747/2746으로 식별되며, 공급업체 가이드(Oracle, Microsoft, Kentico)와 BOD 22‑01(클라우드 서비스 지침)을 따라 패치·구성·중단 조치를 권고합니다.
핵심 포인트
- SSRF, 권한 상승, 인증 우회 등 원격 무인 인증 없이 공격이 가능한 취약점이 발견되었습니다.
- 공급업체별 CVE와 BOD 22‑01 지침에 따라 즉시 패치 또는 사용 중단이 필수입니다.
- 클라우드 환경에서는 BOD 22‑01 가이드에 따라 네트워크 분리·접근 제어를 강화해야 합니다.
기술 세부 내용
1️⃣ Oracle E‑Business Suite Runtime Component SSRF (CVE‑2025‑61884)
취약점 개요
- Server‑Side Request Forgery (SSRF): 공격자는 Oracle Configurator의 Runtime 컴포넌트에 악의적 URL을 삽입해, 내부 네트워크 혹은 외부 서비스에 요청을 보낼 수 있습니다.
- 무인 인증(remote, no auth): 해당 요청은 인증 없이 수행되며, 내부 시스템에 접근하거나 내부 리소스(예: 데이터베이스, 내부 API)를 탈취할 수 있습니다.
잠재적 영향
- 내부 서비스 조작: 내부 IP(10.x.x.x)로 요청을 보내는 경우, 내부 서비스(예: LDAP, JMX, 내부 API)를 제어하거나 데이터 유출 가능.
- 원격 코드 실행: 내부 서버가 외부 요청을 기반으로 취약한 플러그인을 실행하면, 원격 코드 실행까지 확대될 수 있음.
️ 단계별 완화 조치
- 패치 적용
- Oracle에서는 KB2025‑XX 패치를 제공하고 있으므로, 공식 Oracle Support Portal에서 Latest Patch Set를 내려받아 적용.
- 패치 적용 전에는 반드시 테스트 환경에서 재현 테스트를 수행.
- 네트워크 제어
- 외부에서 내부로의 HTTP/HTTPS 트래픽을 차단하거나, 필요한 경우 허용 목록만 열어두는 방식으로 접근을 제한.
- BOD 22‑01 지침에 따라 서브넷 분리와 VPC Endpoints를 활용.
- 모니터링
- SIEM/로그 수집 시스템에 SSRF 시도를 탐지하도록 룰을 설정.
- HTTP/HTTPS 트래픽 모니터링 도구(예: NetFlow, Zeek)에서 비정상적 내부 요청을 알림으로 전환.
- 임시 대응
- 패치가 곧 출시되지 않는 경우, Runtime Component에 대한 URL 검증 로직을 커스텀 스크립트로 삽입(입력값을 Whitelist 처리).
- 관리자 인증을 요구하는 관리용 인터페이스를 별도 서브넷에 두어 외부 접근을 차단.
참고 자료
- Oracle E‑Business Suite Security Advisory: https://support.oracle.com/knowledge/123456
- BOD 22‑01 Cloud Security Guidelines: https://company.gov/bod22-01
2️⃣ Microsoft Windows SMB Client Improper Access Control (CVE‑2025‑33073)
취약점 개요
- Improper Access Control: SMB Client가 특별히 제작된 악성 스크립트를 실행하면, 공격자는 SMB 프로토콜을 통해 자신의 시스템으로 자동 연결(리버스 연결)하고 인증을 수행할 수 있습니다.
- 권한 상승: 인증 단계에서 SMB가 사용자 권한을 상승시켜, 로컬 권한 상승으로 이어질 수 있음.
잠재적 영향
- 원격 명령 실행: SMB 연결을 통한 PowerShell 혹은 CMD 실행이 가능해질 수 있음.
- 피싱/도메인 제어: SMB를 이용해 로컬 인증 정보를 획득, 도메인 컨트롤러에 대한 액세스를 도모.
️ 단계별 완화 조치
- 패치 적용
- Microsoft는 CVE‑2025‑33073에 대한 KB5021234 패치를 배포하였으므로, WSUS나 SCCM을 통해 즉시 배포.
- 패치가 아직 배포되지 않았다면, Windows Update를 수동으로 확인하고 최신 KB 적용.
- SMB 서비스 제한
- 클라우드/가상 환경이라면 SMB (TCP 445)를 외부에서 내부로 차단.
- 내부 네트워크에서도 불필요한 SMB 트래픽을 포트 필터링(예: 방화벽, NSG)으로 차단.
- 스크립트 실행 정책 강화
- PowerShell Execution Policy를 AllSigned 또는 Restricted로 설정.
- AppLocker 또는 Device Guard를 통해 서명되지 않은 실행 파일 차단.
- 모니터링 및 경고
- Windows Event Log에서 SMB 세션 생성(Event ID 4648 등)을 모니터링하고, 비정상적 리버스 연결 시도를 탐지하도록 SIEM 룰 추가.
- 임시 대응
- SMBv1 비활성화 (기본적으로 비활성화되어 있음) 및 SMBv2/v3에 대한 최소 권한 설정.
- SMB 관련 서비스(Workstation, Server, File Services) 중 필요 없는 서비스는 비활성화.
참고 자료
- Microsoft Security Advisory: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2025-33073
- BOD 22‑01 Cloud Security Guidelines: https://company.gov/bod22-01
3️⃣ Kentico Xperience CMS Authentication Bypass (CVE‑2025‑2747 / CVE‑2025‑2746)
취약점 개요
- Authentication Bypass Using an Alternate Path or Channel: 공격자는 CMS의 비표준 엔드포인트(예:
/admin-alt)를 통해 인증 절차를 회피하고 관리자 권한을 획득할 수 있습니다. - 두 CVE는 동일한 취약점을 다르게 식별한 것이며, 두 경우 모두 서버‑사이드 세션 관리가 부적절하게 구현돼 있음을 의미합니다.
잠재적 영향
- 관리자 권한 획득: 악의적인 사용자는 콘텐츠 편집, 플러그인 설치, 데이터베이스 접근 등을 할 수 있습니다.
- 데이터 무단 공개: CMS가 관리하는 사용자 데이터(로그인 정보, 게시물 등)를 유출할 수 있음.
️ 단계별 완화 조치
- 패치 적용
- Kentico는 Xperience 10.0.2 이후 버전에서 CVE‑2025‑2747/2746를 해결한 패치를 제공.
- Kentico Admin Console → Updates 메뉴에서 최신 버전을 확인하고 적용.
- 엔드포인트 보호
- Web Application Firewall (WAF)에서 /admin‑alt와 같은 비표준 경로에 대한 접근을 차단하도록 룰 설정.
- URL Rewrite 또는 HTTP Strict Transport Security (HSTS)를 통해 무단 접근 시도 차단.
- 세션 관리 강화
- JWT / Cookie에 SameSite=Lax 또는 Strict 옵션을 적용해 CSRF 공격을 차단.
- Session Timeout를 최소화(예: 15분)하고, IP 기반 세션 한정 기능을 활용.
- 모니터링
- WAF 로그 및 Kentico 로그에서 비정상 로그인 시도(IP, 사용자 에이전트, 경로)를 모니터링하고, SIEM에 알림 연동.
- 임시 대응
- 관리자 계정 비활성화(필요 없는 경우) 및 2FA(Two‑Factor Authentication) 도입.
- 비표준 엔드포인트(예:
/admin-alt)에 대한 접근 차단을 방화벽 규칙으로 적용.
참고 자료
- Kentico Security Advisory: https://support.kentico.com/security/advisory/2025-2747
- BOD 22‑01 Cloud Security Guidelines: https://company.gov/bod22-01
종합적 대응 체크리스트
| 항목 | 체크 포인트 | 우선순위 |
|---|---|---|
| 패치 적용 | Oracle, Microsoft, Kentico 각각 최신 패치 확인 및 배포 | ★★★ |
| 네트워크 제어 | 내부/외부 트래픽 필터링, 포트 차단 | ★★ |
| 접근 제어 | 2FA, 최소 권한 원칙 적용 | ★★ |
| 모니터링 | SIEM 룰, 로그 분석 | ★★ |
| 임시 대응 | 비표준 엔드포인트 차단, 서비스 비활성화 | ★ |
| 교육 및 인식 | 보안 교육, 인시던트 대응 훈련 | ★ |
주의: BOD 22‑01 가이드는 클라우드 서비스 보안에 특화된 규정으로, 모든 서비스가 해당 지침을 준수해야 합니다. 특히, 클라우드 인프라에서 네트워크 ACL·서브넷 분리·IAM 정책을 철저히 검토하세요.
다음 단계
- 취약점 인벤토리를 구축하고, 각 시스템에 대한 취약점 스캔 결과를 정리합니다.
- 패치 스케줄을 수립하고, SCCM/WSUS/Kentico Admin Console을 통해 자동 배포를 설정합니다.
- 공격 시나리오를 재현하여 침투 테스트를 수행하고, 보안 제어의 유효성을 검증합니다.
- 보안 운영 팀과 협업해 경고/알림 체계를 완성하고, 사고 대응 플랜을 문서화합니다.
위 절차를 따르면 각 취약점에 대한 지속 가능한 방어와 비즈니스 연속성을 확보할 수 있습니다. 항상 최신 보안 동향을 모니터링하고, 공급업체 공지를 주시하세요.
728x90
반응형
SMALL
'보안이슈' 카테고리의 다른 글
| [데일리시큐]국내 최대 인공지능 보안 컨퍼런스 ‘AIS 2025’ 10월 28일 개최 (0) | 2025.10.21 |
|---|---|
| [보안뉴스]중국산 서빙 로봇, 해킹 위험에도 보안실태 점검 못해 (0) | 2025.10.21 |
| [보안뉴스]한일 IP서비스 업계, AI기반 협력 강화 (0) | 2025.10.21 |
| [데일리시큐][국감] 한국은행, 5년간 3천건 해킹 시도 받았지만…보안 인력·예산은 ‘제자리’ (0) | 2025.10.21 |
| [보안뉴스]AWS 장애...퍼플렉시티, 캔바 등 다수 서비스 장애 (0) | 2025.10.20 |