핵심 요약
- 미국 사이버보안·인프라보안국(CISA)이 Adobe Experience Manager(AEM)의 치명적 취약점 CVE-2025-54253을 KEV(활발히 악용되는 취약점) 목록에 등재하고 긴급 패치 적용을 강력 권고했습니다.
- 이 취약점은 CVSS 10.0(만점)으로 평가되며, 단 한 번의 HTTP 요청만으로 인증 없이 임의 시스템 명령 실행이 가능해 시스템 탈취가 가능합니다.
- Adobe는 6.5.0-0108 버전에서 관련 취약점(CVE-2025-54254 등 포함)을 수정했으므로, 즉시 패치 적용이 필요합니다.
🔎 무엇이 문제인가?
- 취약점 핵심은 AEM 내부의 /adminui/debug 서블릿이 방어 없이 노출되어 있다는 점입니다.
- 해당 엔드포인트는 사용자 입력(OGNL 표현식 등)을 자바 명령처럼 해석·실행할 수 있는 취약성이 있어, 공격자가 인증 절차 없이 악성 페이로드를 전달하면 원격 코드 실행(RCE) 이 가능합니다.
- 단 한 번의 HTTP 요청으로 시스템 명령 실행 → 웹셸 설치 → 시스템·네트워크 전반 탈취로 이어질 수 있어 영향 범위가 매우 넓고 위험도가 최상급입니다.
🧾 지금 당장 해야 할 일 (긴급 대응 체크리스트)
- 즉시 패치 적용(최우선)
- Adobe가 배포한 보안 업데이트(예: AEM 6.5.0-0108 이상)를 확인하여 우선적으로 패치하세요. 테스트 후 신속 배포 권장.
- 관리자 인터페이스 접근 차단
- /adminui/* 및 관련 관리 엔드포인트에 대한 인터넷 직접 노출을 즉시 차단.
- 관리 콘솔은 VPN/전용망·허용 IP만 접근하도록 방화벽·WAF로 제한.
- 임시 완화 조치(패치 전)
- WAF 규칙으로 OGNL, xwork 관련 페이로드 차단 또는 /adminui/debug 요청 차단.
- 비정상적인 POST/GET 패턴(대용량 텍스트/스타일시트 업로드 등) 차단.
- 탐지·모니터링 강화
- 웹서버·앱로그에서 /adminui/debug 또는 의심스러운 요청(비정상 User-Agent, 의심 IP)의 접근 기록 즉시 검색.
- 호스트 측면에서 새로운 웹셸, 의심스러운 java 프로세스 실행, 비정상 아웃바운드 트래픽(외부 C2) 모니터링.
- 침해여부 조사(Threat Hunting)
- 최근(수주 내) 로그·파일 시스템·프로세스에서 webshell(.jsp/.do/.php 등) 또는 base64 디코딩 흔적 검색.
- EDR로 의심 프로세스·메모리 패턴(동적 로더·비정상 클래스 로딩) 헌팅.
- 네트워크 격리 및 포렌식 준비
- 침해 의심 호스트 즉시 네트워크 격리 → 메모리 덤프·디스크 이미지·네트워크 캡처 등 증거 수집 후 포렌식 진행.
- 공개·보고 체계 준비
- 규제요건(예: 개인정보·영업비밀 유출 시 통지) 검토. 내부 법무·PR과 협의해 필요한 공지·대응 계획 마련.
🔍 탐지 단서(IOC) — 로그·시스템에서 찾아볼 항목
- 웹서버 접근 로그: POST /adminui/debug 또는 유사 경로 요청
- 요청 바디에 OGNL 혹은 expression 형태의 텍스트 포함
- 서버 측에서 java 프로세스가 외부로 HTTP/S 요청(특히 익숙치 않은 외부 IP) 발생
- 파일 시스템에서 갑작스러운 JSP/Servlet 파일 생성, webshell 의심 파일
- EDR 경고: 새로운 네트워크 연결, base64 디코딩·실행 행위, 비정상적인 파일 권한 변경
🧩 배경·영향
- Adobe는 문제 버전으로 AEM Forms on JEE 6.5.23.0 및 이전을 지목했고, 8월 초 릴리스(6.5.0-0108)에서 일부 취약점(CVE-2025-54254 등)을 함께 수정했습니다.
- CISA는 이 취약점을 KEV 목록에 추가하고 연방기관에 11월 5일까지 패치 적용 의무화를 지시했습니다.
- 단순한 최신 버전 미적용뿐 아니라, 관리 콘솔의 인터넷 노출·잘못된 WAF 설정 등 구성 오류가 있으면 공격 위험이 급격히 상승합니다.
⚠️ 조직별 우선 권고
- EBS/운영팀: 즉시 AEM 버전 확인 → 패치 계획 수립 및 적용
- 보안운영팀(SOC): 위 IOC 기반 긴급 검색·탐지 룰 배포, WAF 긴급 룰 적용
- 네트워크팀: 관리 인터페이스 외부 노출 차단, 허용 IP 정책 엄격화
- 경영·법무·PR: 침해 시 의사결정 프로세스·대외 공지 문구 준비
🔚 맺음말
이번 AEM 취약점은 “인증 필요 없음 + 단일 HTTP 요청으로 RCE”라는 조합 때문에 기업·기관의 핵심 시스템을 단시간에 탈취할 수 있는 초위험 사례입니다. CISA의 KEV 등재와 실제 악용 정황 보고는 이 문제의 긴급성을 단적으로 보여줍니다.
→ 지금 당장(오늘) AEM 버전과 관리 엔드포인트 노출 여부를 확인하고, 패치·차단·모니터링을 실행하십시오.
'보안(News)' 카테고리의 다른 글
| “보이지 않는 위험을 잡는다 — 금융보안원의 차세대 공격표면관리 전략” (0) | 2025.11.12 |
|---|---|
| ⚾ 프로야구 티켓, '1만 장 싹쓸이' 온라인 암표…언제까지 방치할 것인가? (0) | 2025.10.22 |
| ⚠️ [긴급] 오라클 EBS 취약점(CVE-2025-61882) 악용 공격 — 클롭(Clop) 랜섬웨어, 실제 공격 발생 중 (0) | 2025.10.11 |
| ⚠️ 레디스(Redis) 치명적 취약점 ‘레디쉘(CVE-2025-49844)’ 발견 — 원격 코드 실행(RCE) 가능, CVSS 10.0 (0) | 2025.10.11 |
| ⚡ 국가 데이터센터 화재, 클라우드 이중화 부재가 원인 (0) | 2025.09.27 |
