미국 CISA(Cybersecurity and Infrastructure Security Agency)는 지난 월요일 오라클 퓨전 미들웨어(Oracle Fusion Middleware)에 영향을 미치는 치명적인 결함을 KEV(Known Exploited Vulnerabilities) 카탈로그에 추가했다.

CVE-2021-35587로 등록된 이 취약점은 CVSS 점수 9.8이며 OAM(Oracle Access Manager) 버전 11.1.2.3.0, 12.2.1.3.0 및 12.2.1.4.0에 영향을 미친다.

이 원격 명령 실행 버그를 악용하면 네트워크 액세스 권한이 있는 인증되지 않은 공격자가 Access Manager 인스턴스를 완전히 손상시키고 장악할 수 있다.

이 버그를 보고한 베트남 보안 연구원은 올해 3월 초 "공격자가 OAM 서버에 대한 액세스 권한을 부여하거나 권한이 있는 사용자를 생성하거나 피해자의 서버에서 코드를 실행할 수 있다"라고 공개했다.

위협 인텔리전스 회사에 따르면, 결함을 무기화하려는 시도가 진행 중이며 미국, 중국, 독일, 싱가포르 및 캐나다에서 시작되었다고 전했다. 

기관들은 잠재적인 위협으로부터 네트워크를 보호하기 위해 오는 12월 19일까지 벤더 패치를 적용해야 한다.

★정보보안 대표 미디어 데일리시큐!