CISA, 어도비·오라클 소프트웨어의 역직렬화 버그 경고
어도비는 2017년 4월에 CVE-2017-3066을 공개하고, 영향을 받는 모든 버전에 대한 핫픽스를 발표했다. 여기에는 어도비 콜드퓨전 2016 업데이트 3 이하 버전, 콜드퓨전 11 업데이트 11 이하 버전, 콜드퓨전 10 업데이트 22 이하 버전이 포함된다. 당시 어도비는 어드바이저리에서 “이 핫픽스에는 자바 역직렬화 취약점을 완화하기 위한 아파치 블레이즈DS 라이브러리의 업데이트 버전이 포함되어 있다”라고 밝혔다.
코드 화이트(Code White) 연구진은 2018년 블로그 게시물에서 어도비 콜드퓨전(버전 11과 12)의 취약점을 자세히 설명하며, 콜드퓨전이 데이터 교환을 위해 사용하는 액션 메시지 포맷(Action Message Format ; AMF) 내의 역직렬화 문제를 조명했다. 그들이 발견한 바에 따르면, CVE-2017-3066이 발생하기 전에는 콜드퓨전에 클래스 화이트리스트가 없었기 때문에 공격자가 ‘java.io.Externalizable’을 악용하여 원격 코드 실행을 할 수 있었다.
CISA는 보안상의 이유로 취약점 악용에 대한 구체적인 세부 사항을 공개하지 않으면서도 모든 조직이 취약한 시스템을 잠재적인 위협에 대비하여 신속하게 패치하라고 경고했다.
N-days에 노출된 오라클 애자일 PLM의 결함
2024년 1월에 수정된 또 다른 취약점은 오라클 PLM 소프트웨어의 수출 구성 요소에 있는 심각도가 높은(CVSS 8.8/10) 결함으로, 직렬화된 데이터의 부적절한 처리로 인해 발생한다. CVE-2024-20953로 명명됐다. 이 취약점을 악용하면 권한이 낮은 공격자가 HTTP를 통해 네트워크에 액세스하여 임의의 코드를 실행함으로써 전체 시스템을 장악할 수 있게 된다.
이 취약점은 오라클 애자일 PLM 버전 9.3.6에 영향을 미치며, 오라클은 2024년 1월 중요 패치 업데이트를 공개했다. 완전한 보호를 위해 즉각적인 패치를 적용하는 것이 강력히 권장되지만, 더 빠른 해결 방법도 있다.
