오라클 EBS(E-Business Suite)에서 BigDebIT 취약점 패치

Oracle E-Business Suite Flaws Let Hackers Hijack Business Operations

기업에서 운영 및 민감 정보 보안을 위해 오라클 EBS(E-Business Suite)를 사용한다면 사용하는 소프트웨어가 최신 버전인지 확인하시기 바랍니다.

사이버 보안 회사인 Onapsis는 보고서를 통해 오라클 EBS에 제보한 취약점에 대한 기술적 세부사항을 공개했습니다. 

오라클 EBS는 CRM, ERP, SCM 운영을 자동화하기 위해 설계된 통합 애플리케이션 그룹입니다.

“BigDebIT”로 명명된 두 취약점은 CVSS 점수 9.9대를 기록했으며 지난 1월 오라클의 중요 패치 업데이트(CPU-Critical Patch Update)를 통해 수정되었습니다. 

하지만 오라클은 EBS 고객 중 약 50%가 아직까지 패치를 적용하지 않았다고 밝혔습니다.

악성 공격자가 이 취약점을 악용할 경우 General Ledger와 같은 회계 툴을 공격하여 민감 정보를 훔치고 금융 사기를 저지를 수 있습니다.

“인증받지 않은 공격자는 General Ledger 모듈에서 자동화된 익스플로잇을 사용하여 흔적을 남기지 않고 현금과 같은 회사의 자산을 추출해 내고 회계 테이블을 수정할 수 있습니다.”

 

<이미지 출처: https://thehackernews.com/2020/06/oracle-e-business-suite.html>

“취약점 악용에 성공할 경우, 공격자는 금융 데이터를 훔치고 회사의 규정 준수 프로세스와 관련된 재무 보고를 지연시킬 수 있습니다.”

BigDebIT 공격 벡터는 이미 3년 전 Onapsis에서 발견한 EBS의 PAYDAY 취약점에도 추가되었습니다. 오라클은 2019년 4월 이 취약점을 수정하기 위한 패치를 발행했습니다.

금융 사기를 위해 General Ledger 노려

CVE-2020-2586 및 CVE-2020-2587로 등록된 이 새로운 취약점은 사용자가 기업의 조직 및 직책 계층을 생성할 수 있도록 하는 계층 다이어그래머(Hierarchy Diagrammer) 컴포넌트 내 오라클의 인재 관리 시스템(HRMS)에 존재합니다. 

게다가 이 취약점은 EBS 고객이 2019년 4월 공개된 패치를 적용한 경우라도 악용이 가능합니다.

“이 패치의 다른 점은 시스템이 최신 버전일지라도 공격에 취약하기 때문에 1월 공개된 중요 패치 업데이트를 최우선 순위로 설치해야 한다는 점입니다.”

이 취약점이 패치되지 않은 채 방치될 경우, 회사의 회계 시스템이 공격을 받아 금융 사기 및 기밀 정보 유출로 이어질 수 있습니다.

오라클 General Ledger는 자동화된 금융 프로세싱 소프트웨어로 회계 정보를 저장하는데 사용되며 EBS 애플리케이션 스위트에 통합되어 있습니다. 

EBS에는 조직에서 구현할 수 있는 전사적 자원 관리(ERP), 공급망 관리(SCM), 고객 관계 관리(CRM) 애플리케이션 또한 포함되어 있습니다.

General Ledger는 기업의 금융 리포트를 생성하고 2002년 SOX 법을 준수하는지 감사하는데 사용됩니다.

공격자는 이 결함을 악용하여 장부의 중요한 보고를 수정할 수 있으며 회사의 잔금 내역 시트의 거래를 조작할 수도 있습니다.

“예를 들어, 공격자는 특정 기간 내 회계 잔액을 종합하여 보여주는 Trial Balance Report를 눈에 띄지 않게 수정할 수 있습니다. 이로써 발각되지 않고 재무제표에 정확하지 않은 결과를 포함시킬 수 있습니다.”

중요 소프트웨어 패치의 중요성

오라클 EBS에는 금융 관련 사고가 발생할 수 있는 위험이 존재하기 때문에 이를 사용하는 기업에서는 혹시 위험에 노출된 상태인지 확인 후 즉시 취약점을 수정하는 패치를 적용하는 것이 좋습니다.

“현재의 GRC 툴과 기타 기존 보안 방식(방화벽, 접근 제어, SoD 등)은 취약한 오라클 EBS 시스템에서 발생하는 이러한 공격을 막기에는 역부족입니다.”

“조직에서 인터넷에 연결된 오라클 EBS 시스템을 사용 중일 경우 잠재적 위험은 더욱 증가합니다. 공격을 받고 있는 조직은 광범위한 내부 또는 외부 감사를 통해 증거를 발견하지 않는 이상은 공격을 인식하지 못할 수 있습니다.

출처:

https://thehackernews.com/2020/06/oracle-e-business-suite.html

https://www.oracle.com/security-alerts/cpujan2020.html

https://www.onapsis.com/blog/BigDebIT-vulnerabilities-oracle-ebs-customers-risk