Loading...
반응형

안녕하세요!
오늘은 전 세계 기업 시스템의 심장을 위협하는 치명적인 SAP NetWeaver 제로데이 취약점에 대해 알려드릴게요.
이 취약점은 이미 실전 공격에서 악용되고 있어 매우 주의가 필요합니다. 😨

⚠️ CVE-2025-31324: 무엇이 문제인가요?

이 취약점은 SAP NetWeaver 플랫폼 내 Visual Composer Metadata Uploader 컴포넌트에서 발견된
인증되지 않은 원격 코드 실행(RCE) 관련 취약점입니다.

  • CVE 번호: CVE-2025-31324
  • CVSS 점수: 💯 10.0 / 10.0 (최고 심각도)
  • 영향 범위: SAP NetWeaver 기반 애플리케이션 10,000개 이상
  • 문제점: 인증이 없는 공격자가 악성 실행 파일(JSP WebShell 등)을 업로드하고, 해당 시스템을 완전히 장악할 수 있음

🔍 어떻게 공격이 이뤄졌나?

보안 업체 ReliaQuest는 고객사 대상 인시던트 분석 중 이 취약점을 발견했습니다.
공격자들은 SAP의 Metadata Uploader 기능을 악용해 웹셸(JSP)을 업로드했고,
단순한 GET 요청으로 이를 실행해 완전한 시스템 권한을 획득했어요.

사용된 주요 공격 도구

  • JSP Webshell: GitHub에 공개된 원격 코드 실행용 웹셸 코드 기반
  • Brute Ratel:
    • 메모리 내 악성코드 실행
    • 프로세스 인젝션
    • 권한 상승, 안티 바이러스 우회, 계정 크리덴셜 탈취, 측면 이동(Lateral Movement)
  • Heaven’s Gate:
    • 32bit에서 64bit로 전환 가능한 Thread 조작 기술
    • 메모리 기반 탐지 우회 기능 탑재

😨 특히 이 공격은 최신 보안 패치를 적용한 서버에서도 성공적으로 이루어졌습니다.
즉, 해당 취약점은 SAP가 그간 공개한 모든 패치보다 더 최신의 제로데이 위협이라는 뜻이에요.

💡 초기 침투 후 수일간 대기, 목적은 ‘초기 접근 판매’?

ReliaQuest는 일부 공격자들이 초기 침투 후 여러 날 동안 아무런 후속 조치를 하지 않고 대기하는 모습을 발견했습니다.

👉 이로 인해 해당 공격자가 직접 피해를 주기보다는
초기 침투 권한을 암시장에서 판매하는 브로커일 가능성이 높다고 분석했어요.

🔐 어떤 시스템이 영향을 받나요?

보안 기업 Onapsis에 따르면,
이 취약점은 전 세계적으로 10,000개 이상의 인터넷 노출 SAP 시스템에 위협을 줄 수 있어요.

  • 영향받는 환경:
    • SAP RISE 환경
    • SAP Cloud 환경
    • On-Premise 구축 SAP 시스템
  • 위험성:
    • 중요 업무 프로세스 통제
    • 기업 내 민감 정보 탈취
    • 산업 스파이 활동, 데이터 조작, 재무 사기 가능성

다만, Onapsis 측은 “문제의 컴포넌트는 기본적으로 비활성화되어 있기 때문에
실제 영향받는 시스템 수는 현재 정밀 분석 중”이라고 덧붙였어요.

🛠️ 지금 바로 취할 수 있는 조치

SAP는 2025년 4월 보안 패치 데이를 통해 이 취약점(CVE-2025-31324)에 대한 보안 노트와 긴급 패치를 공개했어요.
11.38.20 버전부터는 자동 업데이트로 적용되지만, 반드시 수동 확인도 병행해야 합니다.

✅ 점검 체크리스트

  • SAP NetWeaver 패치 버전이 11.38.20 이상인지 확인
  • Visual Composer Metadata Uploader 컴포넌트가 활성화되어 있는지 점검
  • /reports/MetricsUpload 경로 접근 기록 모니터링
  • 의심스러운 ZIP 다운로드, 임시 디렉터리 내 파일 쓰기 감지
  • 인터넷에서 SAP Command Center 접근 차단
  • 애플리케이션 계층 분리 및 로깅 강화
  • 긴급 사고 대응 절차 점검 및 훈련 실시

📌 마무리 요약

  • CVE-2025-31324는 SAP NetWeaver에 영향을 주는 치명적인 제로데이 취약점입니다.
  • ✅ 공격자는 인증 없이 웹셸을 업로드하고 시스템을 장악할 수 있어요.
  • ✅ 주요 공격 도구로는 Brute Ratel, Heaven’s Gate, AGAMEMNON이 활용됨.
  • ✅ 심지어 최신 패치 적용 시스템도 피해를 입을 수 있어요.
  • ✅ SAP는 4월 보안 패치로 해당 취약점을 해결했으나, 적용 여부를 수동 확인해야 합니다.
  • ✅ 보안 담당자라면 지금 바로 SAP 시스템을 점검해 보세요!
728x90
반응형
저작자표시 동일조건

'CyberSecurity > Security🔐' 카테고리의 다른 글

“WinDbg Preview Exploit: WDAC 우회·디버거 악용 방법과 대응 가이드 (Windows Defender Application Control 보안 위협)”  (3) 2025.04.27
BPFDoor: 보이지 않는 해커의 문을 열다 🚪✨  (2) 2025.04.27
🇰🇷 한국 기업 정조준한 북한 해킹조직 '라자루스'…Operation SyncHole 캠페인 분석 🔍  (2) 2025.04.25
🛠️ 공개 하루 만에 악용? 2025년 보안 위협의 속도전  (2) 2025.04.25
🦈 MFA도 무용지물? 'SessionShark' 피싱 툴킷의 위협  (0) 2025.04.25

티스토리툴바