.gif)
[3줄 요약]
1. 오라클 EBS의 원격 코드 실행 취약점, CVSS 점수 9.8점으로 매우 치명적
2. 랜섬웨어 조직 클롭, 실제 일부 기업 공격해 대량의 데이터 탈취 후 협박 메일 발송
3. 우리나라 대기업, 공공기업에서도 많이 사용...즉시 패치하고 보안 강화해야
[보안뉴스 한세희 기자] 글로벌 IT 기업 오라클(Oracle)의 전사적 자원관리 솔루션 E-Business Suite(EBS)를 사용하는 수많은 기업들에게 보안 경고등이 켜졌다.
해커뉴스 등 외신에 따르면 랜섬웨어 조직인 ‘Graceful Spider’(일명 클롭)이 지난 8월 9일부터 오라클 EBS에서 발견된 치명적인 보안 취약점(CVE-2025-61882)을 악용해 실제 공격을 시작했다고 밝혔다.
EBS에서 발견된 취약점은 CVSS 점수가 9.8점에 달하는 매우 심각한 취약점으로, 인증 없이 원격코드 실행이 가능한 것으로 알려졌다.
▲오라클 본사 전경 [자료: 연합]
클롭의 오라클 EBS 취약점 악용 사실을 발견한 글로벌 보안기업 크라우드스트라이크(CrowdStrike)는 Scattered Spider, LAPSUS$, ShinyHunters 간의 협력을 진행하는 텔레그램 채널에서도 해당 취약점의 익스플로잇이 공유되고 있다고 밝혔다.
다만, 이들 조직이 익스플로잇을 어떻게 입수했는지, 이들까지 실제 공격에 활용했는지는 아직 알려지지 않았다고 덧붙였다. 해당 텔레그램 채널은 오라클 EBS의 익스플로잇을 공유하면서 클롭의 전술을 비판하는 모습을 보이기도 했다.
이번 공격은 HTTP 요청을 통해 인증 우회를 유도하며, 이후 오라클의 XML Publisher Template Manager를 대상으로 GET 및 POST 요청을 보내 악성 XSLT 템플릿을 업로드 및 실행하는 방식인 것으로 드러났다. 해당 악성 템플릿은 미리보기 시 실행되며, Java 웹 서버가 공격자 인프라로 연결되어 웹쉘을 로드하고 명령을 실행하게 된다.
이번 공격과 관련 크라우드스트라이크는 “개념 증명(PoC) 공개와 패치 배포로 인해 오라클 EBS에 익숙한 해커 조직들이 무기화된 PoC를 제작하고 인터넷에 노출된 EBS 애플리케이션을 대상으로 공격할 가능성이 매우 높다”고 경고했다.
또 다른 보안기업인 WatchTowr Labs도 “이번 공격은 높은 수준의 기술과 노력이 요구되며, SSRF, CRLF 인젝션 등 최소 5가지의 취약점을 조합해 인증 없이 원격 코드 실행을 달성한다”고 설명했다.
랜섬에어 조직 ‘클롭’의 경우 여러 피해 기업들에게서 대량의 데이터를 탈취하고, 일부에게는 협박 이메일을 발송한 것으로 확인됐다. 클롭 외에도 수일 내에 여러 해커 조직에 의한 대규모 무차별 공격이 발생할 것으로 예상돼 우려가 커지고 있다.
이에 미국 사이버보안 및 인프라 보안국(CISA)은 해당 취약점을 ‘악용된 취약점 목록’에 추가하고, 연방기관에 10월 27일까지 패치할 것을 권고했다.
우리나라의 경우도 삼성전자, LG그룹, 현대자동차를 비롯한 대기업과 공공기관, 중견기업 등에서 오라클 EBS를 상당히 많이 활용하고 있는 상황이다. 이에 EBS 사용 기업은 즉시 패치하고, 공격 탐지 및 보안 통제를 강화해야 할 것으로 보인다.
[한세희 기자(boan@boannews.com)]
1. 오라클 EBS의 원격 코드 실행 취약점, CVSS 점수 9.8점으로 매우 치명적
2. 랜섬웨어 조직 클롭, 실제 일부 기업 공격해 대량의 데이터 탈취 후 협박 메일 발송
3. 우리나라 대기업, 공공기업에서도 많이 사용...즉시 패치하고 보안 강화해야
[보안뉴스 한세희 기자] 글로벌 IT 기업 오라클(Oracle)의 전사적 자원관리 솔루션 E-Business Suite(EBS)를 사용하는 수많은 기업들에게 보안 경고등이 켜졌다.
해커뉴스 등 외신에 따르면 랜섬웨어 조직인 ‘Graceful Spider’(일명 클롭)이 지난 8월 9일부터 오라클 EBS에서 발견된 치명적인 보안 취약점(CVE-2025-61882)을 악용해 실제 공격을 시작했다고 밝혔다.
EBS에서 발견된 취약점은 CVSS 점수가 9.8점에 달하는 매우 심각한 취약점으로, 인증 없이 원격코드 실행이 가능한 것으로 알려졌다.
▲오라클 본사 전경 [자료: 연합]
클롭의 오라클 EBS 취약점 악용 사실을 발견한 글로벌 보안기업 크라우드스트라이크(CrowdStrike)는 Scattered Spider, LAPSUS$, ShinyHunters 간의 협력을 진행하는 텔레그램 채널에서도 해당 취약점의 익스플로잇이 공유되고 있다고 밝혔다.
다만, 이들 조직이 익스플로잇을 어떻게 입수했는지, 이들까지 실제 공격에 활용했는지는 아직 알려지지 않았다고 덧붙였다. 해당 텔레그램 채널은 오라클 EBS의 익스플로잇을 공유하면서 클롭의 전술을 비판하는 모습을 보이기도 했다.
이번 공격은 HTTP 요청을 통해 인증 우회를 유도하며, 이후 오라클의 XML Publisher Template Manager를 대상으로 GET 및 POST 요청을 보내 악성 XSLT 템플릿을 업로드 및 실행하는 방식인 것으로 드러났다. 해당 악성 템플릿은 미리보기 시 실행되며, Java 웹 서버가 공격자 인프라로 연결되어 웹쉘을 로드하고 명령을 실행하게 된다.
이번 공격과 관련 크라우드스트라이크는 “개념 증명(PoC) 공개와 패치 배포로 인해 오라클 EBS에 익숙한 해커 조직들이 무기화된 PoC를 제작하고 인터넷에 노출된 EBS 애플리케이션을 대상으로 공격할 가능성이 매우 높다”고 경고했다.
또 다른 보안기업인 WatchTowr Labs도 “이번 공격은 높은 수준의 기술과 노력이 요구되며, SSRF, CRLF 인젝션 등 최소 5가지의 취약점을 조합해 인증 없이 원격 코드 실행을 달성한다”고 설명했다.
랜섬에어 조직 ‘클롭’의 경우 여러 피해 기업들에게서 대량의 데이터를 탈취하고, 일부에게는 협박 이메일을 발송한 것으로 확인됐다. 클롭 외에도 수일 내에 여러 해커 조직에 의한 대규모 무차별 공격이 발생할 것으로 예상돼 우려가 커지고 있다.
이에 미국 사이버보안 및 인프라 보안국(CISA)은 해당 취약점을 ‘악용된 취약점 목록’에 추가하고, 연방기관에 10월 27일까지 패치할 것을 권고했다.
우리나라의 경우도 삼성전자, LG그룹, 현대자동차를 비롯한 대기업과 공공기관, 중견기업 등에서 오라클 EBS를 상당히 많이 활용하고 있는 상황이다. 이에 EBS 사용 기업은 즉시 패치하고, 공격 탐지 및 보안 통제를 강화해야 할 것으로 보인다.
[한세희 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)