오라클 구형 시스템 해킹에 따른 자격 증명 유출로 인해 보안 침해 위험↑ 외 1건

요약	- CISA는 Oracle의 구형 시스템이 해킹된 사건과 관련, 자격 증명 유출로 인한 보안 침해 위험이 커졌다고 경고 - 유출된 자격 증명이 재사용되거나 시스템 내 하드코딩되어 있을 경우 장기적인 접근권한 노출로 이어질 수 있음
내용	- 이번 침해는 오라클의 1세대 클라우드 서버(Oracle Cloud Classic)인 ‘Gen 1 서버’에서 발생 > 공격자는 25년 초 CVE-2021-35587를 악용해 웹 셸과 악성코드 설치 및 사용자 관리 시스템인 IDM(Oracle Identity Manager) 데이터베이스에 접근 > IDM(Oracle Identity Manager) 데이터베이스 : 사용자 이름, 이메일 주소, 암호화된 패스워드, 인증 토큰, 암호키 등의 민감한 정보가 포함 ※ CVE-2021-35587 (CVSS: 9.8) : HTTP 네트워크 접근 권한을 가진 인증되지 않은 공격자가 OAM을 침해하여 모든 권한을 가진 사용자를 생성하거나 피해자 서버에서 임의 코드를 실행할 수 있는 취약점 - 해커 ‘rose87168’ > 해당 침해를 자신이 저질렀다고 주장하며, 총 600만 건의 자격 증명 데이터 판매글 게시 > 유출된 정보에는 LDAP 데이터와 함께 다수의 조직 리스트가 포함되어 있는 것으로 확인 - CISA > 유출된 자격 증명이 코드, 템플릿, 스크립트 등 시스템 전반에 하드코딩되어 있을 경우 탐지가 어렵고, 장기적인 비인가 접근을 유도할 수 있다고 경고 > 권고 ① 유출 가능성이 있는 계정의 비밀번호를 즉시 변경하고, 전사적인 자격 증명 점검 실시 ② 코드와 시스템에 하드코딩된 인증 정보를 보안 인증 방식으로 대체하고, 중앙 비밀 관리 도입 ③ 가능한 모든 시스템에 피싱 방지 기능이 강화된 다중 인증(MFA) 적용 ④ 인증 로그 및 접근 기록을 실시간으로 모니터링해 이상 징후 탐지 - 오라클 > 문제가 된 서버는 2017년 이후 사용되지 않은 구형 시스템 > 현재 오라클 클라우드 인프라스트럭처(OCI)는 침해되지 않았다고 해명 > 이번 침해가 자사의 클라우드 서비스나 고객 데이터에는 영향을 미치지 않았다고 주장 - 보안 전문가 > 오라클이 이번 사건을 지나치게 축소하고 있다는 비판을 제기 > 시스템 내에 하드코딩된 인증 정보를 점검하고 즉시 교체 > 자격 증명을 안전하게 관리할 수 있도록 중앙 비밀 관리 시스템을 도입 > 모든 시스템에서 다중 인증을 기본적으로 활성화 > 정기적인 보안 업데이트와 패치 적용이 필수적
기타	- 오라클 헬스(구 세르너) > 25.01 데이터 마이그레이션 과정 중 침해가 발생해 환자 데이터가 유출 > 공격자는 고객 인증 정보를 이용해 전자 건강기록 시스템에 접근

 

보안뉴스

오라클 구형 시스템 해킹에 따른 자격 증명 유출로 인해 보안 침해 위험↑ - 데일리시큐

CISA Releases Guidance on Credential Risks Associated with Potential Legacy Oracle Cloud Compromise | CISA