TRUfusion Enterprise 취약점 이슈가 2026-02-16 공개됐다. 핵심은 사전인증 SSRF(CVE-2025-32355), 인증 후 경로 탐색 기반 임의 파일 쓰기(CVE-2025-59793), 그리고 기본 관리자 비밀번호 유지 위험이 결합될 때 인증 없는 원격 코드 실행(RCE)로 이어질 수 있다는 점이다. 이 글은 2026-02-17 14:00 KST 기준 공개 자료만으로 사실 관계를 정리하고, SOC/IR/보안운영팀이 바로 적용할 수 있는 대응 우선순위를 제시한다.
TL;DR: TRUfusion Enterprise 취약점 한눈에 보기
- 영향 제품: Rocket Software TRUfusion Enterprise
- 영향 버전: 두 취약점 모두 < 7.10.5로 공개됨
- CVE-2025-32355: 사전인증 SSRF, CVSS v4 7.9
- CVE-2025-59793: 인증 필요 경로 탐색(임의 파일 쓰기 가능), CVSS v4 9.4
- 위험 증폭 조건: 기본 비밀번호 trubiquity 미변경, 내부 서비스 노출/우회 가능성
- 최우선 조치: 7.10.5 업데이트, 기본 계정/비밀번호 교체, Axis2 접근 통제, 이상 로그 헌팅
배경
RCE Security는 2025년 9월 TRUfusion Enterprise의 다수 사전인증 취약점을 공개한 뒤, 2026년 2월 후속 연구(Part 2)에서 SSRF와 경로 탐색 취약점의 연계 위험을 추가로 공개했다. 이번 공개는 특히 단일 버그가 아니라 연쇄(Chaining) 관점에서 시스템이 어떻게 무너질 수 있는지 보여준다는 점에서 운영팀에 중요하다.
공개 자문 타임라인에 따르면 CVE-2025-32355는 2025-02-12 발견 후 2026-02-11에 7.10.5 수정 반영이 확인됐고, 2026-02-16 공개됐다. 즉, 실무 관점에서는 패치 지연 기간이 길었던 사례로 분류할 수 있으며, 아직 업그레이드가 완료되지 않은 자산이 있다면 우선순위를 높여야 한다.
핵심 포인트: 왜 중요한가
- 경계(Perimeter)에서 시작 가능: CVE-2025-32355는 인증 없이 역프록시를 악용해 내부/외부 대상으로 요청을 중계할 수 있게 만드는 SSRF다.
- 내부 전용 서비스로 피벗 가능: 원문은 localhost 바인딩된 Axis2 인터페이스 접근에 SSRF가 활용될 수 있음을 설명한다.
- 파일 쓰기와 결합 시 영향 급증: CVE-2025-59793는 uploadFile 처리에서 jobDirectory 검증 부족으로 경로 이탈이 가능해 임의 파일 쓰기 위험으로 이어진다.
- 운영 미흡이 리스크를 현실화: 기본 관리자 비밀번호(trubiquity) 미변경 환경에서는 체인 난이도가 낮아진다.
요약하면, 이번 이슈는 개별 취약점 자체보다도 네트워크 경계 + 내부 API + 계정 위생 실패가 동시에 존재할 때의 파급효과를 보여준다. 그래서 패치만이 아니라 계정정책, 접근통제, 탐지룰 보강이 같이 필요하다.
영향/리스크 분석
1) 영향받는 시스템/버전
공개 자문 기준으로 CVE-2025-32355와 CVE-2025-59793 모두 TRUfusion Enterprise 7.10.5 미만이 영향 범위다. 공급사 측 권고 조치는 7.10.5로 업데이트다. 버전 식별이 불명확한 자산은 취약 가능 자산으로 간주하고 우선 점검해야 한다.
2) 공격이 가능해지는 조건(개념 수준)
- 인터넷 또는 비신뢰 구간에서 TRUfusion 프런트엔드 접근 가능
- 역프록시가 절대 URL 형태 요청을 부적절하게 수용
- Axis2 업로드 서비스 접근 경로 존재(직접 노출 또는 SSRF 우회)
- 기본 관리자 비밀번호 유지 또는 약한 계정 통제
위 조건이 동시에 맞물리면 인증 경계를 우회한 서비스 접근과 파일 쓰기 위험이 연계될 수 있다. 다만 실제 침해 성공 여부는 환경별 권한, 파일시스템 권한, 보안장비 정책에 따라 달라진다.
3) 탐지 포인트(로그/IOC)
- 리버스프록시/웹 로그: 요청라인에 절대 URL(예: http://, https://)이 비정상적으로 등장하는 패턴
- 네트워크 텔레메트리: TRUfusion 서버에서 localhost/내부대역/비정상 외부 목적지로의 돌발 아웃바운드
- 애플리케이션 로그:
/axis2/services/WsPortalV6UpDwAxis2Impl호출 급증,SOAPAction: urn:uploadFile빈도 상승 - 파라미터 이상징후:
jobDirectory내 경로 이탈 문자열(../, 인코딩 변형 등) - 파일 무결성: TRUfusion 웹 경로(특히 webapps 하위)의 비승인 신규/변경 파일
- 인증 이벤트: 관리자 계정 비정상 인증 시도, 업무시간 외 반복 접근
확인된 사실: 취약점 존재, 영향 버전, 수정 버전(7.10.5), CVSS 점수, 체인 가능성은 공개 자문/원문에 명시돼 있다. 미확인 사항: 대규모 실제 악용 캠페인 여부, 개별 조직 내 침해 발생 여부는 공개 자료만으로 단정할 수 없다.
대응 체크리스트(보안운영·SOC·IR)
P0 (즉시, 0~24시간)
- TRUfusion 자산 전수 식별(인터넷 노출, 내부 노출, DR/테스트 포함)
- 버전 확인 후 7.10.5 미만 즉시 패치 또는 긴급 격리
- 기본 관리자 비밀번호 및 연관 서비스 계정 비밀번호 즉시 변경
- 외부에서 Axis2 서비스 직접 접근 차단(방화벽/WAF/리버스프록시 ACL)
- TRUfusion 서버 아웃바운드 통신을 최소 허용(Allowlist) 방식으로 전환
- 증적 보존 시작(웹/프록시/애플리케이션/시스템 로그 보존 기간 연장)
P1 (단기, 24~72시간)
- 최근 30~90일 로그 레트로 헌팅: 절대 URL 요청, Axis2 uploadFile 호출, 경로 이탈 패턴
- 웹 루트/배포 경로 무결성 점검(FIM, 배포 기준선과 비교)
- 관리자 계정 사용 이력 검토(비정상 시간대, 비정상 IP, 실패-성공 연쇄)
- 침해 의심 시 호스트 격리 후 포렌식 절차 전환(메모리/디스크/로그 수집 체계화)
P2 (중기, 1~2주)
- TRUfusion 관리면/서비스면 네트워크 분리 및 내부 전용화 검토
- 기본 계정 사용 금지 정책 문서화, 비밀번호 회전 자동화
- SIEM 상시 룰 추가: 절대 URL 요청, Axis2 호출 이상치, 웹 루트 파일 변경 탐지
- 공급망 보안 프로세스 개선: 패치 SLA, 예외승인 절차, 취약점 공지 모니터링 자동화
FAQ
Q1. 어떤 버전이 영향을 받나?
공개 자문 기준으로 두 CVE 모두 TRUfusion Enterprise 7.10.5 미만이 영향 대상이다. 운영 중인 정확한 빌드가 불명확하면 취약 가능 자산으로 우선 분류하는 것이 안전하다.
Q2. 7.10.5로 올리면 끝인가?
패치는 필수지만 충분조건은 아니다. 기본 비밀번호 교체, Axis2 접근통제, 로그 헌팅 및 무결성 점검까지 완료해야 실질적 위험을 낮출 수 있다.
Q3. Axis2가 localhost 바인딩이면 안전한가?
원문은 SSRF와의 연계를 통해 내부 전용 인터페이스 접근이 가능할 수 있음을 설명한다. 따라서 로컬 바인딩만으로 안전하다고 가정하면 안 되고, SSRF 차단과 아웃바운드 통제가 함께 필요하다.
Q4. 실제 악용 증거가 없으면 우선순위를 낮춰도 되나?
권장하지 않는다. 이번 이슈는 인증 경계 우회 가능성과 체인 위험이 명확히 제시됐고, 영향 버전과 수정 버전이 확정돼 있어 예방 조치의 비용 대비 효과가 크다.
Q5. 패치가 당장 어렵다면 최소한 무엇을 해야 하나?
외부 노출 차단, 기본 비밀번호 즉시 변경, Axis2 접근 제한, 아웃바운드 최소화, 그리고 레트로 헌팅을 우선 수행해야 한다. 이 5가지는 패치 지연 구간의 현실적인 최소 방어선이다.