CISA, 어도비·오라클 소프트웨어의 역직렬화 버그 경고

미 사이버보안 및 인프라 보안국(CISA)이 어도비와 오라클 이용 조직을 대상으로 경고를 발했다. 양사의 서비스에 영향을 미치는 치명적인 취약점이 실제로 악용되고 있다는 진단이다.

이 미국 사이버 보안 감시 기관은 24일 알려진 취약점 카탈로그(KEV)에 어도비 콜드퓨전(CVE-2017-3066)과 오라클 애자일 프로덕트 라이프사이클 매니지먼트(PLM)(CVE-2024-20953)의 취약점을 추가했다. “이런 유형의 취약점은 악의적인 사이버 공격자들이 자주 사용하는 공격 경로이며, 연방 정부 기관에 상당한 위험을 초래한다”라고 CISA는 밝혔다.

어도비 웹 개발 관련 역직렬화 문제의 역사

CISA가 지적한 어도비 콜드퓨전 결함은 아파치 블레이즈DS 라이브러리에 있는 오래된 자바 역직렬화(deserialization) 버그다. 임의 코드 실행을 가능하게 하기 때문에 10점 만점에 9.8점이라는 높은 심각도 등급을 받았다.

어도비는 2017년 4월에 CVE-2017-3066을 공개하고, 영향을 받는 모든 버전에 대한 핫픽스를 발표했다. 여기에는 어도비 콜드퓨전 2016 업데이트 3 이하 버전, 콜드퓨전 11 업데이트 11 이하 버전, 콜드퓨전 10 업데이트 22 이하 버전이 포함된다. 당시 어도비는 어드바이저리에서 “이 핫픽스에는 자바 역직렬화 취약점을 완화하기 위한 아파치 블레이즈DS 라이브러리의 업데이트 버전이 포함되어 있다”라고 밝혔다.

코드 화이트(Code White) 연구진은 2018년 블로그 게시물에서 어도비 콜드퓨전(버전 11과 12)의 취약점을 자세히 설명하며, 콜드퓨전이 데이터 교환을 위해 사용하는 액션 메시지 포맷(Action Message Format ; AMF) 내의 역직렬화 문제를 조명했다. 그들이 발견한 바에 따르면, CVE-2017-3066이 발생하기 전에는 콜드퓨전에 클래스 화이트리스트가 없었기 때문에 공격자가 ‘java.io.Externalizable’을 악용하여 원격 코드 실행을 할 수 있었다.

CISA는 보안상의 이유로 취약점 악용에 대한 구체적인 세부 사항을 공개하지 않으면서도 모든 조직이 취약한 시스템을 잠재적인 위협에 대비하여 신속하게 패치하라고 경고했다.

N-days에 노출된 오라클 애자일 PLM의 결함

2024년 1월에 수정된 또 다른 취약점은 오라클 PLM 소프트웨어의 수출 구성 요소에 있는 심각도가 높은(CVSS 8.8/10) 결함으로, 직렬화된 데이터의 부적절한 처리로 인해 발생한다. CVE-2024-20953로 명명됐다. 이 취약점을 악용하면 권한이 낮은 공격자가 HTTP를 통해 네트워크에 액세스하여 임의의 코드를 실행함으로써 전체 시스템을 장악할 수 있게 된다.

이 취약점은 오라클 애자일 PLM 버전 9.3.6에 영향을 미치며, 오라클은 2024년 1월 중요 패치 업데이트를 공개했다. 완전한 보호를 위해 즉각적인 패치를 적용하는 것이 강력히 권장되지만, 더 빠른 해결 방법도 있다.

오라클은 어드바이저리에서 “중요한 패치 업데이트 패치를 적용하기 전까지는 공격에 필요한 네트워크 프로토콜을 차단함으로써 성공적인 공격의 위험을 줄일 수 있다. 특정 권한이나 특정 패키지에 대한 액세스가 필요한 공격의 경우, 권한이 필요하지 않은 사용자로부터 권한이나 패키지에 대한 액세스 권한을 제거하면 성공적인 공격의 위험을 줄이는 데 도움이 될 수 있다”라고 밝혔다.

CISA의 이번 경고는 시스템 전체를 장악할 수 있는 심각한 역직렬화 취약점을 신속하게 패치해야 할 이유를 강조한다. CISA가 언급한 명백한 경고는 또 있었다. 이 연방 기관은 최근 코드 내 버퍼 오버플로우 결함을 “용서할 수 없는” 중대한 결함이라고 묘사하며, 그 중 대부분은 메모리 안전 언어를 사용하는 간단한 방법을 통해 피할 수 있다고 설명했다.

한편 미국의 민간 기관이 관리하는 비군사적 연방 정부 네트워크인 연방 민간 행정기관 네트워크(Federal Civilian Executive Branch, FCEB)는 BOD 22-01 지침에 따라 최신 취약점을 신속하게 패치하도록 촉구 받았다.
[email protected]