짐브라 서비스에서 아직 패치되지 않은 취약점 활용하는 공격자들

요약 : 보안 블로그 시큐리티어페어즈에 의하면 짐브라 콜라보레이션 스위트(Zimbra Collaboration Suite)에서 초고위험도 원격 코드 실행 취약점인 CVE-2022-41352가 실제 해킹 공격에 적극 이용되고 있다고 한다. 이 취약점은 9.8점을 받았을 정도로 심각하며, 아직까지 패치가 되지 않았다. 이미 수백 대의 서버들이 공략당한 것으로 보이며, 공격자들은 jsp 파일을 웹 클라이언트의 public 디렉토리에 업로드 함으로써 자신들이 원하는 코드를 피해자의 컴퓨터에서 실행시킬 수 있게 되는 것으로 분석됐다.


배경 : 유입되는 이메일을 스캔하는 짐브라의 백신 엔진인 아마비스(Amavis)에는 cpio라는 메소드가 있는데, 문제의 취약점은 여기서 나타나는 것으로 분석됐다. 짐브라 측은 패치가 아니라 위험 완화 대책을 마련하여 발표했다. pax라는 유틸리티를 설치하고 짐브라 서비스를 재부팅하는 것이다. 우분투 기반 짐브라에는 이미 pax가 설치되어 있어 안전하다고 한다.

말말말 : “아직 정체가 밝혀지지 않은 APT 그룹이 현재 이 취약점을 활발하게 익스플로잇 하고 있습니다. 또한 한 공격자(혹은 공격 조직)는 체계적으로 익스플로잇을 실시해 중앙아시아의 모든 서버들을 감염시키기도 했습니다.” -카스퍼스키(Kaspersky)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>