오라클은 CVE-2024-21287로 추적되는 Oracle Agile Product Lifecycle Management(PLM)의 인증되지 않은 파일 공개 결함을 수정했습니다. 이 결함은 파일 다운로드를 위한 제로데이로 적극적으로 악용되었습니다.
Oracle Agile PLM은 기업이 글로벌 팀 전체에서 제품 데이터, 프로세스 및 협업을 관리할 수 있도록 지원하는 소프트웨어 플랫폼입니다.
어제 Oracle은 Agile PLM 고객에게 CVE-2024-21287 결함을 수정하기 위해 최신 버전을 설치할 것을 촉구했습니다.
오라클은 “이 취약점은 인증 없이 원격으로 악용될 수 있습니다. 즉, 사용자 이름과 비밀번호 없이 네트워크를 통해 악용될 수 있습니다. 악용에 성공하면 파일이 공개될 수 있습니다”라고 경고했습니다.
“오라클은 고객이 이 보안 경고에서 제공하는 업데이트를 가능한 한 빨리 적용할 것을 강력히 권장합니다.”
오라클은 이 결함이 CrowdStrike의 Joel Snape와 Lutz Wolf에 의해 공개되었다고 밝혔지만, 권고문에서는 해당 결함이 적극적으로 악용되었음을 나타내지 않았습니다.
그러나 Oracle의 보안 보증 담당 부사장인 Eric Maurice는 나중에 블로그 게시물을 통해 이 공격이 공격에 악용되었음을 확인했습니다.
Maurice는 “이 취약점은 Oracle Agile Product Lifecycle Management(PLM)에 영향을 미칩니다. CrowdStrike에 의해 “야생”에서 적극적으로 악용되는 것으로 보고되었습니다.”라고 썼습니다.
“이 취약점은 CVSS 기본 점수 7.5점을 받았습니다. 악용에 성공하면 인증되지 않은 공격자가 대상 시스템에서 PLM 응용 프로그램에서 사용하는 권한으로 액세스할 수 있는 파일을 다운로드할 수 있습니다.”
현재 이 결함이 어떻게 악용되고 있는지, 해당 공격이 특정 위협 행위자의 소행인지 여부는 불분명합니다.
BleepingComputer는 자세한 내용을 알아보기 위해 CrowdStrike와 Oracle에 문의했지만 아직 응답을 받지 못했습니다.
