오라클 E-Business Suite(EBS)에서 CVE-2025-61884가 공개되었다. 영향 대상은 Oracle Configurator의 Runtime UI로, 인증 이전 단계에서 HTTP 요청만으로 악용 가능하며 성공 시구성 관련 데이터에 대한 무단 접근이 발생할 수 있다. 공식 영향 범위는 12.2.3 ~ 12.2.14, CVSS 평점은 7.5 (High)다.
같은 시기 보고된 CVE-2025-61882 (RCE, 9.8) 와의 연계도 주목된다. 현장 관찰에서는 RCE로 초기 접근을 얻은 뒤 Runtime UI 결함을 활용해 데이터를 수집하는 연쇄 시나리오가 확인되고 있다. 외부에 노출된 EBS 포털이 존재할수록 위험도는 높아진다.
영향 및 맥락
Configurator Runtime UI는 제품 구성, 가격 산출, 주문 로직 등 핵심 업무 흐름과 밀접하게 연결되어 있다. 인증 이전 단계에서 접근 제어가 취약하면 로그인 없이 구성 모델과 관련 데이터(가격표, 규칙, 공급망 식별자 등) 에 접근할 수 있어 권한 상승·사칭·공급망 공격의 준비 단계로 악용될 수 있다.
공격 시 확인되는 흔한 엔드포인트 패턴은 다음과 같다:
/OA_HTML/configurator/UiServlet- (일부 환경)
/OA_HTML/configurator/SyncServlet
운영팀은 위 경로를 중심으로 최근 접근 로그와 에러 로그를 우선 검토하는 것이 바람직하다.
오라클 EBS: CVE-2025-61884 취약점 관련 Criminal IP 기반 헌팅
CVE-2025-61884에 취약할 가능성이 있는 외부 노출 오라클 EBS 포털은 브라우저 타이틀, HTTP 응답 배너, 및 특정 엔드포인트 경로에서 특징적 서명을 보여 신속하게 식별할 수 있다. 위협 헌팅 검색엔진 Criminal IP Asset Search에서 다음 쿼리를 사용하면 공개 노출 인스턴스를 확인할 수 있다.
Criminal IP Search Query: “OA_HTML”
“OA_HTML” 쿼리를 검색한 결과, 2025년 10월 21일 기준 전 세계에서 1055건의 인스턴스가 확인된다. 국가 분포는 미국·중국·인도 순으로 다수이며, 미국은 410건이 관찰된다.
자사 또는 공급망 범위로 좁히려면 org / country / port(443) 조건을 조합하여 특정 기업/공급망의 자산을 탐지할 수 있다. 포털이 탐지되면 아래 대표 경로의 응답·배너·헤더를 추가로 취약점 영향도를 점검할 수 있다.
/OA_HTML/AppsLogin/OA_HTML/portal.jsp/OA_HTML/configurator/UiServlet
Criminal IP에서 확인된 한 IP 주소의 경우, 인바운드 위험 점수가 Critical로 평가되었으며 총 3개의 오픈 포트가 탐지되었다. 그중 8020번 포트는 EBS 관련 응답을 반환하며, CVE 12건이 기록되어 있고 악용 이력 2건이 존재했다.
이는 공격자가 여러 취약점을 연계·자동화하여 초기 접근 → 권한 상승 → 데이터 탈취로 이어갈 수 있는 위험 환경임을 의미한다.
Criminal IP Hacking Group으로 Clop 유사 그룹 모니터링
최근 EBS 제로데이 악용 캠페인에서는 제로데이를 전문적으로 악용하는 조직들이 주요 행위자로 확인되고 있다. 특히 Clop과 유사한 랜섬웨어·데이터 탈취 그룹이 관찰되고 있다고 한다. 기업 고객 전용을 위한 Criminal IP Hacking Group을 활용하면 관련 행위자의 요약 타임라인, 활동 지역, 최신 동향(CIP News) 을 한 화면에서 확인할 수 있다. 특정 그룹과의직접 연계가 확정되지 않았더라도, IOC(침해지표) 와 IOA(공격지표), 그리고 참고 자료를 근거로 방어 우선순위를 조정하는 데 유용하다.
대응 권장 사항
- 패치 적용
보안 경보에 포함된 업데이트를 우선 적용한다. 패치 이전의 차단·완화는 임시 조치에 불과하다. - 인터넷 노출 최소화
EBS(특히 OA_HTML/Configurator 관련 경로)는 VPN/프록시 인증 뒤에 배치하고, 업무상 필요한 소스 IP만 허용 목록으로 관리한다. - 프런트 보호 강화
리버스 프록시/WAF에서UiServlet·SyncServlet대상 비정상 파라미터/메서드를 차단·챌린지하고, 가능하면 해당 구간에 추가 인증(헤더 기반·SSO) 을 도입한다. - 로그 기반 점검
7월 중순부터 현재까지의 웹 접근·프록시/WAF·애플리케이션 에러 로그를 묶어 분석한다.UiServlet/SyncServlet요청 패턴, 대량 조회·다운로드 이벤트, 세션 재사용,applmgr등 기본 계정의 비정상 동작을 우선 확인한다. 의심 정황이 있으면 세션·토큰 폐기, 비밀값 교체, 내부 데이터 접근–외부 전송 상관분석을 순차 적용한다. - 기능 범위 축소
Configurator 권한·데이터 범위를 최소화하고, 불필요한 기능은 비활성화한다. - 지속 모니터링
상기 타이틀/경로 쿼리를 7/14/30일 주기로 자동 스캔해 신규 노출·구성 변경을 추적한다.
FAQ
Q1. CVE-2025-61884는 RCE가 아니니 상대적으로 덜 위험한가요?
아닙니다. RCE와 같은 원격 코드 실행 취약점과는 성격이 다르지만, CVE-2025-61884가 초래하는 위험은 결코 과소평가할 수 없습니다. 특히 RCE(또는 다른 초기 접근 취약점)와 결합되면 초기 접근 → 권한 확대 → 민감 데이터 수집·탈취로 이어지는 연쇄 공격 시나리오가 현실화될 수 있습니다.
Q2. 패치만 적용하면 충분한가요?
아니요. 패치는 필수이자 최우선 대응이지만, 단독으로는 재노출·우회·탐지 회피 가능성을 완전히 막기 어렵습니다. 다층 방어(Defense‑in‑Depth)를 권장하며, 즉시 권장하는 조치는 다음과 같습니다.
- 패치 적용
- 외부 접근 차단(예: VPN 적용, 허용 IP만 허용)
- WAF 규칙 및 로그 기반 탐지 규칙 추가
결론
CVE-2025-61884는 EBS에서 인증 이전 단계의 데이터 접근을 허용할 수 있는 취약점이다. 대응의 우선순위는 명확하다. 패치 적용 → 외부 노출 해소 → 로그 포렌식 → 비밀값 교체 → 지속 모니터링. Criminal IP의 타이틀/경로 기반 탐지를 활용하면 자사 및 공급망 단위의 노출 현황을 일관된 기준으로 점검할 수 있다.
관련해서 오라클 웹로직 서버 취약점 CVE-2020-2883 : 5년간 지속된 서버 장악 위협 글을 참고할 수 있다.
이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.
데이터 출처 : Criminal IP (https://www.criminalip.io/ko), Help Net Security(https://www.helpnetsecurity.com/2025/10/12/another-remotely-exploitable-오라클-ebs-vulnerability-requires-your-attention-cve-2025-61884/), The Register(https://www.theregister.com/2025/10/14/오라클_rushes_out_another_emergency/), 데일리시큐(https://www.dailysecu.com/news/articleView.html?idxno=201262)
관련 글 : https://www.criminalip.io/ko/knowledge-hub/blog/24560