링크세상 링크모음
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

시작되었습니다: 심각도가 최대 10인 취약점을 악용하는 공격

게티 이미지

랜섬웨어 해커들이 전 세계 기업 네트워크에 심각한 위협을 가하는 최근 수정된 하나 이상의 취약점을 악용하기 시작했다고 연구원들이 밝혔습니다.

취약점 중 하나의 심각도 등급은 10점 만점에 10점이고 다른 하나는 9.9입니다. Progress Software에서 만든 파일 공유 앱인 WS_FTP Server에 있습니다. Progress Software는 보안에 따르면 최근 2,300개 이상의 조직과 2,300만 명 이상의 데이터를 손상시킨 심각한 제로데이 취약점에 의해 공격을 받은 또 다른 파일 전송 소프트웨어인 MOVEit의 제조업체입니다. 회사 Emsisoft. 피해자에는 Shell, British Airways, 미국 에너지부, 온타리오 정부 출생 등록 기관인 BORN Ontario가 포함되며, 후자는 340만 명의 정보를 손상시켰습니다.

점점 나빠지는 만큼

WS_FTP 서버의 취약점이 추적되는 CVE-2023-40044와 Progress Software의 동일한 10월 28일 업데이트에서 패치된 CVE-2023-42657로 추적되는 별도의 취약점은 모두 취약점만큼 중요합니다. 심각도 등급이 10인 CVE-2023-40044를 통해 공격자는 인증 없이 높은 시스템 권한으로 악성 코드를 실행할 수 있습니다. 심각도 9.9의 CVE-2023-42657도 원격 코드 실행을 허용하지만 해커가 먼저 취약한 시스템에 대해 인증을 받아야 합니다.

지난 금요일, 보안 회사인 Rapid7의 연구원들은 이러한 취약점 중 적어도 하나가 “여러 인스턴스”에서 활발하게 악용되고 있을 수 있다는 첫 번째 징후를 발표했습니다. 월요일에 연구원들은 취약점을 표적으로 삼는 것으로 보이는 별도의 공격 체인을 발견했다고 게시물을 업데이트했습니다. 얼마 지나지 않아 Huntress의 연구원들은 “우리 파트너 기반 내에서 매우 적은 수의 사례(현재 한 자릿수)에서 CVE-2023-40044의 실제 악용”을 확인했습니다. 화요일 업데이트에서 Huntress는 적어도 하나의 해킹된 호스트에 위협 행위자가 지속성 메커니즘을 추가했다고 밝혔습니다. 이는 해당 공격자가 서버에 영구적인 존재를 구축하려고 시도하고 있음을 의미합니다.

또한 화요일에는 기업 네트워크가 공격을 받고 있는 조직과 광범위한 관계를 맺고 있는 보안 연구원 Kevin Beaumont가 Mastodon에 대한 게시물을 올렸습니다.

“랜섬웨어 공격을 받은 조직에서는 위협 행위자가 정보를 얻기 위해 WS_FTP를 통해 침입했다고 나에게 알려주므로 이를 패치하는 데 우선순위를 두는 것이 좋습니다.”라고 그는 썼습니다. “WS_FTP를 노리는 랜섬웨어 그룹은 웹 버전을 노리고 있습니다.” 그는 Shodan 검색 도구를 사용하여 취약한 진입점을 검색하기 위해 파일 전송 프로그램을 사용하는 관리자를 위한 조언을 추가했습니다.

조금 충격적이다

CVE-2023-40044는 역직렬화 취약점으로 알려진 것으로, 사용자가 제출한 입력을 개체라고 알려진 데이터 구조로 변환할 수 있는 코드의 버그 형태입니다. 프로그래밍에서 객체는 앱이 참조하는 변수, 함수 또는 데이터 구조입니다. 근본적으로 신뢰할 수 없는 사용자 입력을 공격자가 만든 코드로 변환함으로써 역직렬화 악용은 심각한 결과를 초래할 가능성이 있습니다. WS_FTP 서버의 역직렬화 취약점은 .NET 프로그래밍 언어로 작성된 코드에서 발견됩니다.

보안 회사 Assetnote의 연구원들은 WS_FTP 서버 코드를 디컴파일하고 분석하여 취약점을 발견했습니다. 그들은 결국 들어오는 이벤트를 수신하도록 설계된 코드인 “싱크”를 식별했으며 역직렬화에 취약하고 소스로 돌아가는 작업을 수행했습니다.

“궁극적으로 우리는 이 취약점이 인증 없이도 실행될 수 있으며 WS_FTP의 전체 Ad Hoc 전송 구성 요소에 영향을 미친다는 사실을 발견했습니다.”라고 Assetnote 연구원은 월요일에 썼습니다. “인증 없이 역직렬화 싱크에 도달할 수 있다는 사실이 조금 충격적이었습니다.”

인증이 필요하지 않은 것 외에도 ysoserial 가젯이라는 것이 이미 존재하는 한 서버에 단일 HTTP 요청을 보내 취약점을 악용할 수 있습니다.

WS_FTP 서버 취약점은 MOVEit에서 악용된 취약점에 비해 인터넷 전체에 심각한 위협을 가하지 않을 수 있습니다. 한 가지 이유는 공격이 시작되기 전에 WS_FTP 서버에 대한 수정 사항이 공개적으로 사용 가능해졌기 때문입니다. 이는 파일 전송 소프트웨어를 사용하는 조직이 공격을 받기 전에 서버를 패치할 수 있는 시간을 제공했습니다. 또 다른 이유: 인터넷 검색에서는 MOVEit에 비해 WS_FTP 서버를 실행하는 서버가 훨씬 적다는 점을 발견했습니다.

하지만 아직 CVE-2023-40044를 패치하지 않은 네트워크의 피해는 패치가 적용되지 않은 MOVEit 서버에 가해진 피해만큼 심각할 가능성이 높습니다. 관리자는 패치 적용의 우선순위를 정해야 하며, 즉시 가능하지 않은 경우 서버 임시 전송 모드를 비활성화합니다. 또한 해킹당한 징후가 있는지 환경을 분석해야 합니다. 침해 지표는 다음과 같습니다.

  • 103[.]163[.]187[.]12:8080
  • 64[.]227[.]126[.]135
  • 86[.]48[.]삼[.]172
  • 103[.]163[.]187[.]12
  • 161[.]35[.]27[.]144
  • 162[.]243[.]161[.]105
  • C:\Windows\TEMP\zpvmRqTOsP.exe
  • C:\Windows\TEMP\ZzPtgYwodVf.exe

보안 회사인 Tenable에서 제공하는 기타 유용한 보안 지침을 여기에서 확인하실 수 있습니다.