CVE-2025-61882 / CVE-2025-61884 — Oracle EBS 원격 취약점 분석 및 대응 방안
요약: 2025년 10월 발견된 Oracle E-Business Suite(EBS)의 신규 취약점 CVE-2025-61882 및 CVE-2025-61884는 원격에서 인증 없이 민감한 데이터에 접근하거나 명령을 실행할 수 있는 고위험(RCE) 취약점으로 보고되었습니다. 두 취약점 모두 실제 공격에서 사용된 정황이 있으며, 패치 전 제로데이 형태로 악용된 사례가 확인되었습니다.
1️⃣ 취약점 개요
CVE-2025-61882 — Oracle EBS의 특정 API 엔드포인트에서 입력값 검증이 부재하여 원격에서 인증되지 않은 사용자가 SQL 명령을 주입하거나 내부 데이터를 읽을 수 있는 취약점입니다.
CVE-2025-61884 — 인증된 사용자가 권한 상승을 통해 EBS 시스템 내 관리 명령을 실행할 수 있는 취약점으로, 내부 관리자 계정을 탈취할 수 있습니다.
- CVSS v3.1 기준: 9.8 (Critical)
- 영향 범위: Oracle EBS 12.2.x, EBS 12.1.x
- 공격 난이도: 낮음 (원격 네트워크에서 접근 가능)
- 보고자: Trend Micro Zero Day Initiative (ZDI)
2️⃣ 취약점 상세 설명
이 두 취약점은 Oracle EBS의 OA_HTML 디렉토리 내 웹 인터페이스 모듈에서 발생합니다. 공격자는 조작된 HTTP POST 요청을 통해 내부 SQL 문을 실행하거나, 관리자 세션을 탈취할 수 있습니다.
예시 요청 (CVE-2025-61882)
POST /OA_HTML/fndupload.jsp HTTP/1.1
Host: vulnerable-server
Content-Type: application/x-www-form-urlencoded
fnd_request_id=1;SELECT user,password FROM fnd_user;--
응답으로 내부 계정 데이터가 평문으로 노출되거나, 관리자 세션 쿠키가 반환될 가능성이 있습니다. 이후 공격자는 /OA_HTML/RF.jsp 또는 FNDWRR.jsp 등을 이용해 시스템 명령을 실행할 수 있습니다.
3️⃣ 관련 에러 코드 (ORA-19511 / ORA-27072 / ORA-00312)
패치 전 시스템에서는 로그 파일 또는 백업 작업 중 다음과 같은 에러가 동반될 수 있습니다.
ORA-19511: Error received from media manager layer, error text: I/O Error
ORA-27072: File I/O error occurred
ORA-00312: Online log 3 thread 1: '/u01/app/oracle/oradata/redo03.log'
이는 공격자가 시스템 접근 시 로그나 백업 파일을 잠금 상태로 만들어 I/O 예외를 유도했을 가능성도 있으며, 디스크 손상 또는 백업 권한 변경으로 인해 병행 증상이 나타날 수 있습니다.
4️⃣ 패치 및 대응
- Oracle CPU (Critical Patch Update) 2025년 10월 릴리즈 버전으로 업데이트 권장
- Web 서버의
OA_HTML디렉토리 접근 제한 (HTTP Allow/Deny 설정) - DB 계정 권한 점검: 불필요한 PUBLIC 권한 제거
- HTTP 요청 로그 모니터링 및 IDS 룰 추가
# 예시: 의심 SQL 주입 탐지용 IDS 룰
alert tcp any any -> any 80 (msg:"Oracle EBS suspicious OA_HTML request"; content:"OA_HTML"; nocase; content:"SELECT"; nocase; sid:100001;)
5️⃣ 로그 점검 방법 (SQL 예시)
-- 최근 7일간 관리자 계정 로그인 기록 확인
SELECT username, terminal, logon_time
FROM dba_audit_trail
WHERE action_name = 'LOGON' AND logon_time > SYSDATE - 7
ORDER BY logon_time DESC;
-- 의심 SQL 수행 내역 검색
SELECT username, sql_text
FROM v$sql
WHERE sql_text LIKE '%OA_HTML%' OR sql_text LIKE '%FND%UPLOAD%';
6️⃣ 결론 및 권고사항
이번 CVE-2025-61882와 CVE-2025-61884는 단일 시스템 침해로 끝나지 않고, 대규모 데이터 유출로 이어질 수 있는 치명적 취약점입니다. 공격자는 내부 인증 정보를 탈취해 2차 피해(랜섬웨어, 내부망 확산 등)를 유발할 수 있으므로, EBS 관리자와 DBA는 즉시 패치를 적용하고 로그를 점검해야 합니다.
요약 권고: Oracle EBS 12.x 사용 기업은 CPU 패치 적용, 네트워크 접근 제한, 관리자 비밀번호 교체, 로그 분석을 즉시 수행해야 합니다. 또한 CVE-2025-61882와 CVE-2025-61884의 공격 지표(IOC)를 기반으로 내부 방어 체계를 보강하십시오.
[관련 IT 이슈 글]
2025.11.12 - [IT 소식 뉴스/IT 소식] - Cl0p 랜섬웨어 — 오라클 EBS 고객 대상 대규모 침해 및 피해자 명단 공개
Cl0p 랜섬웨어 — 오라클 EBS 고객 대상 대규모 침해 및 피해자 명단 공개
Cl0p 랜섬웨어 — 오라클 EBS 고객 대상 대규모 침해 및 피해자 명단 공개 핵심 요약: Cl0p 계열/연계 위협(보고서 상 FIN11 연계 추정)이 Oracle E-Business Suite(EBS)를 표적으로 한 캠페인을 통해 다수 기업
one-day-growth.com
'IT 소식 뉴스 > CVE CODE' 카테고리의 다른 글
| CVE-2025-59287 — Microsoft WSUS 원격 코드 실행 취약점 분석 (1) | 2025.11.07 |
|---|---|
| CVE-2025-62626 — AMD 젠5 RDSEED 난수 오류 분석 (0) | 2025.11.06 |
| Apache Tomcat 취약점 CVE-2025-52434 / 52520 / 53506 (0) | 2025.11.04 |
| CVE-2025-41244 — VMware Aria Operations 권한 상승 취약점 (2) | 2025.11.03 |
| REDIS Lua — CVE-2025-49844 / 46817 / 46818 / 46819 (2) | 2025.11.02 |