9월 초에 이미 경고도 나오고 패치도 나왔다. 그런데도 패치를 적용하지 않는 사용자들이 수두룩하다. 그래서 공격자들은 요즘 패치가 나와도 아랑곳하지 않고 취약점을 스캔한다. 패치 안 할 거라는 걸 알기 때문이다.

[보안뉴스 문가용 기자] 1만 개가 넘는 기업이 사용하고 있는 비밀번호 관리 및 싱글사인온 솔루션에서 취약점이 발견됐다. 그리고 이 취약점을 통하여 최소 9개 조직이 침해됐다고 한다. 문제의 솔루션은 조호(Zoho)의 매니지엔진 애드셀프서비스 플러스(ManageEngine ADSelfService Plus)이며, 9월 6일 인증 우회 취약점이 발견된 바 있다. 공격자들은 이 취약점을 익스플로잇 함으로써 액티브 디렉토리 서버에서 크리덴셜을 탈취할 수 있다.


공격자들은 이 취약점을 9월 중순부터 지금까지 꾸준하게 스캔해 오고 있다. 패치가 나왔지만 사용자들의 실제 적용이 늦기 때문에 얼마든지 익스플로잇이 가능하다는 걸 잘 알고 있었기 때문이다. 보안 업체 팔로알토 네트웍스(Palo Alto Networks)의 부회장인 라이언 올슨(Ryan Olson)은 해당 솔루션 사용 조직은 한 번 더 침해 흔적을 찾고 패치 여부를 확인해야 한다고 강조했다. “패치를 한다고 위협이 사라지는 건 아닙니다. 그러니 위협을 먼저 찾아 삭제하고 나서 패치를 해야 합니다.”

매니지엔진 솔루션은 인터넷에 곧바로 연결되어 있는 솔루션이다. 공격자들은 인터넷과 직접 연결된 시스템이나 애플리케이션들을 즐겨 공격한다. 그 중 최근 들어 가장 많은 공격을 받기 시작한 건 VPN 장비 및 솔루션들이다. 지난 3월 중국의 위협 행위자들은 마이크로소프트 익스체인지 서버에서 발견된 제로데이 4개를 익스플로잇 함으로써 특정 조직들의 네트워크에 침투하기도 했었다. 7월에는 러시아와 우크라이나의 사이버 범죄자들이 카세야(Kaseya) VSA라는 서버 애플리케이션들의 제로데이 취약점을 익스플로잇 해서 수많은 조직들을 공략하기도 했다.

올슨은 “인터넷에 직접 연결된 요소들을 공격하는 유행이 지속되고 있다는 건 결국 패치와 익스플로잇의 속도 싸움에서 방어자들이 항상 지고 있다는 뜻”이라고 해석한다. “보통 취약점이 공개될 때는 패치가 나온 후입니다. 그럼에도 공격자들은 기죽지 않습니다. 왜냐하면 패치가 나오는 것과 패치가 적용되는 것은 전혀 다른 문제라는 걸 알고 있거든요. 인터넷에 직접 연결되는 애플리케이션이나 시스템이 있다면 패치 관리 대상 1순위라는 걸 늘 염두에 두어야 합니다.”

지난 9월 6일 조호가 발견하고 패치한 취약점은 CVE-2021-40539이다. 하지만 공격자들은 10일이 지나고서 더욱더 취약점 스캔 행위를 늘려갔다. 팔로알토는 “아직도 취약한 인스턴스가 1만 1천개 이상 발견되고 있다”고 말한다. “공격자들은 이 취약점을 익스플로잇 한 후 갓질라(Godzilla)라고 하는 웹셸을 설치해 백도어처럼 활용합니다. NG라이트(NGLilte)라는 고 기반 백도어가 심기는 사례도 있습니다. 그 후에는 Kdc스폰지(KdcSponge)라는 크리덴셜 수집 멀웨어가 심깁니다.”

올슨은 “조호는 두 달 전에 이미 패치를 완료했는데, 아직도 취약한 조직들이 세계 곳곳에 수없이 존재한다”며 “이래서 보안은 누구나 참여해야 하는 거대한 게임이라고 하는 것”이라고 말한다. “모든 요소들의 패치 상태를 꼼꼼하게 관리가 힘들다면 인터넷에 직접 연결되는 요소들만이라도 살펴야 합니다.”

3줄 요약
1. 인터넷 기반 비밀번호 관리 프로그램, 지난 9월에 이미 취약점 발견되고 패치됨.
2. 하지만 아직도 취약한 인스턴스들이 1만 개 이상 발견되고 있음.
3. 인터넷에 직접 연결된 요소들은 특히 더 패치 관리에 신경을 써야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>