⚠️ [긴급] 오라클 EBS 취약점(CVE-2025-61882) 악용 공격 — 클롭(Clop) 랜섬웨어, 실제 공격 발생 중

사건 개요

• 보안 취약점 CVE-2025-61882는 Oracle E-Business Suite(EBS)의 XML Publisher Template Manager 등 기능을 통해 악성 XSLT 템플릿을 업로드·실행할 수 있게 해 인증 우회 → 원격 코드 실행(RCE) 이 가능한 취약점입니다.
• 공격 체인은 HTTP 요청을 통한 인증 우회, 악성 XSLT 업로드(미리보기 시 실행), Java 웹서버가 공격자 인프라에서 웹셸을 로드해 명령 실행하는 방식으로 보고됩니다.
• 보안업체(예: CrowdStrike 등)는 이미 클롭(Graceful Spider) 조직이 이 취약점을 악용해 일부 기업을 공격해 데이터 탈취 후 협박 이메일을 발송했다고 보고했습니다. CISA도 ‘악용된 취약점 목록’에 추가하고 긴급 패치 권고를 내렸습니다.

---

왜 긴급한가?

• 인증 불요·원격 코드 실행: 공격자 인증 없이 악성 템플릿 업로드만으로 RCE가 가능하므로 대단히 위험합니다.
• 광범위한 사용처: EBS는 많은 대기업·공공기관에서 사용되므로 피해 확산 위험이 큽니다.
• 익스플로잇 확산 가능성: PoC·익스플로잇이 이미 공유되거나 악용되었을 가능성, 다수의 공격 그룹이 활용 가능.
• 결과: 웹셸·백도어 설치 → 데이터 유출 · 횡적 이동 · 랜섬·서비스 중단 등 심각한 피해.

---

즉시 시행할 긴급 대응 체크리스트 (우선순위 높음)

1. 즉시 패치 적용
   • Oracle의 공식 보안 권고(패치/업데이트)를 확인하고 가능한 한 빨리 패치하세요. (테스트 후 신속 전사 적용)
2. 관리 인터페이스에 대한 접근 차단
   • EBS 관리·XML Publisher 접근 포인트를 인터넷에 직접 노출 금지.
   • 허용 IP(관리자 VPN/전용망)만 접근 가능하도록 방화벽/보안그룹으로 제한.
3. 임시 완화(패치 전)
   • XML Publisher(Template Manager) 기능 비활성화 또는 외부 접근 차단.
   • WAF 규칙 적용: XSLT 업로드/특정 POST 패턴 차단, 비정상적인 Content-Type/파일 업로드 차단.
   • 웹서버/애플리케이션 레벨에서 미리보기(프리뷰) 기능 차단 가능하면 비활성화.
4. 탐지 & 모니터링 강화
   • 웹서버·EBS 접근 로그에서 비정상적인 GET/POST(특히 /xmlp/*, template upload 관련 API) 신속 검색.
   • 탐지 항목 예: /xmlp/servlet 또는 TemplateManager 관련 POST 요청·큰 크기의 템플릿 업로드·이상한 User-Agent 또는 IP.
   • 호스트에서 비정상적 Java 프로세스, 새로 생성된 웹셸 파일, 외부 IP로의 비정상적 아웃바운드 연결 모니터.
5. EDR/로그 기반 위협헌팅(Threat hunting)
   • 최근(수주 내) 새로운 웹셸·스케줄러(cron) 추가, 의심스러운 Java 프로세스, base64 디코딩·powershell/javaexec 패턴 탐지.
   • 의심 호스트에서 메모리 기반 악성 코드, 비정상 네트워크 연결 탐색.
6. 네트워크 격리 및 포렌식 준비
   • 의심 감염 서버 즉시 네트워크 격리(오프라인) 및 포렌식 이미지/로그 수집(메모리 덤프 포함).
   • 대응 절차와 외부 전문대응(CERT/IR 업체) 연락망 가동.
7. 백업·대응 계획 실행
   • 백업 무결성(암호화·오프사이트 보관) 확인, 복구(복원) 시나리오 마련.
   • 법무·커뮤니케이션팀과 협의해 데이터 유출 시 공지 및 규제 대응 계획 수립.
8. 권한 관리·감사 강화
   • 관리자 계정 비밀번호·키 교체, 관리자 활동 감사 로그 활성화, 불필요한 계정 비활성화.

---

탐지(예시) — 로그/시스템에서 찾아야 할 시그널

• 웹서버/애플리케이션 로그: POST /xmlp/ 또는 POST .*TemplateManager.* 형식의 의심스러운 요청
• 대용량/비정상 Content-Type으로 전송되는 XSLT 파일 업로드 활동
• 서버에서 외부에 HTTP/S 요청(특히 설치된 웹셸이 외부 C2에 접속) 발생
• Java 프로세스 이상행동(예: java 프로세스에서 쉘이나 curl, wget 실행 시도)
• 신규/이상한 파일명(예: webshell.jsp, shell.jsp, ls.php 등) 또는 base64 인코딩된 페이로드가 포함된 로그

SIEM/Kibana/Graylog 등에서 간단한 쿼리로 의심행위를 빠르게 찾아보세요.
예: http.method:POST AND url.path:/xmlp* 또는 request_body:*xsl* OR request_body:*stylesheet*

---

권고(운영·관리팀에 전파할 템플릿 메시지)

긴급 알림: Oracle EBS 관련 치명적 취약점(CVE-2025-61882)에 대해 클롭 등 공격 조직의 실제 악용 사례가 확인되고 있습니다. 즉시 Oracle 보안 권고를 확인하여 패치를 적용하고, 현재 노출된 EBS 관리 인터페이스에 대한 인터넷 접근을 차단하십시오. 의심 사례 발견 시 즉시 보안팀으로 알려주시기 바랍니다.

---

후속 권장 활동 (중기)

• 모든 EBS 인스턴스에 대해 보안 구성 감사(접근제어·로그·패치 상태) 수행
• WAF 규칙 셋 강화 및 테스트 자동화
• 정기 취약성 스캔·침투 테스트(특히 업로드·파일 처리 경로) 주기화
• 공급망(서드파티 모듈·플러그인) 감사 및 최소 권한 원칙 적용
• 사고 대응 훈련·시뮬레이션(IR tabletop) 강화

---

참고(권위 출처 확인 권장)

• Oracle 보안 권고(Oracle Critical Patch Update / EBS 보안 공지)
• CISA: Known Exploited Vulnerabilities Catalog (해당 취약점 추가 여부 및 권고)
• 보안업체 리포트: CrowdStrike, WatchTowr Labs 등(취약점 악용·행위 분석)

---

결론

• 행동요청(지금 바로): Oracle EBS 운영팀은 즉시 Oracle 권고 확인 → 패치 적용 또는 임시 완화(관리 인터페이스 차단, XML Publisher 관련 기능 제한 등) → 탐지·모니터링 강화 → 이상 징후 발생 시 즉시 네트워크 격리 및 포렌식 대응.
• 심각도: 매우 높음 — CVSS 9.8, 이미 실전 악용 사례 존재.