• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

아파치 액티브MQ에서 발견된 최고 등급 취약점, 헬로키티 랜섬웨어 단체가 공략 중 2023.11.03

주로 중소기업들에서 널리 사용되는 오픈소스 메시지 브로커인 아파치 액티브MQ에서 10점 만점짜리 취약점이 발견됐다. 이미 헬로키티라는 랜섬웨어 조직들이 악용하여 멀웨어를 퍼트리고 있다고 한다. 조속한 패치가 요구된다.

[보안뉴스 문정후 기자] 인터넷과 연결된 아파치 액티브엠큐 서버(Apache ActiveMQ Server) 3천 개 이상에서 원격 코드 실행 취약점이 발견됐다. 이미 공격자들이 발견해 익스플로잇 하는 중이라고 한다. 공격자들의 익스플로잇 목적은 무엇보다 랜섬웨어를 유포하는 것이다.

[이미지 = gettyimagesbank]


문제의 취약점은 CVE-2023-46604이며, 10월 27일 아파치소프트웨어재단(Apache Software Foundation, ASF)이 공개했다. 이 취약점을 익스플로잇 하는 데 성공하면 원격의 공격자가 액티브MQ 메시지 브로커에 접근해 임의의 명령을 실행할 수 있게 된다. 현재 이 취약점의 기술 세부 사항과 개념 증명용 익스플로잇이 공개되어 있어 공격자들 역시 충분히 공략이 가능한 상황이다.

익스플로잇 활동
그리고 실제로 그러한 익스플로잇 행위가 진행되고 있다는 것을 보안 업체 라피드7(Rapid7)의 연구원들 이 발견하여 알렸다. ASF 측에서 취약점에 대한 경고를 발표한 바로 그날부터 공격이 시작됐다고 한다. “현재까지 익스플로잇 시도는 총 두 건 발견됐는데, 두 건 모두에서 공격자들은 랜섬웨어 페이로드를 실행시키려 했습니다. 피해자 모두 아파치 액티브MQ의 패치 안 된 버전을 사용하고 있었고요.”

현재까지 조사된 바에 의하면 이 두 건의 공격 모두 헬로키티(HelloKitty)라는 랜섬웨어 패밀리와 관련이 있는 것으로 보인다고 한다. “공격자들이 남긴 협박 편지와, 그 외 여러 공격 관련 데이터들을 살폈을 때 헬로키티라는 단체의 냄새가 강하게 나는 걸 느낄 수 있었습니다. 헬로키티는 2020년부터 활동해 온 공격 단체로, 주로 이중 협박 전략을 사용하는 것으로 알려져 있다. 데이터를 암호화 하기도 하지만 그 전에 미리 빼돌려 피해자가 돈을 내지 않을 때 한 번 더 협박하는 전략을 선호한다는 것이다.

액티브MQ에서 발견된 취약점을 통한 헬로키티 랜섬웨어 조직의 이번 공격은 그리 뛰어나지 않아 보인다. 두 건 중 한 건에서 공격자들은 데이터 암호화 시도를 여섯 번이나 했었는데, 이 때문에 라피드7 측은 공격자들이 이상하게 서투른 모습을 보인다고 보고서를 통해 설명하기도 했다.

“이 취약점의 익스플로잇 코드는 지난 주부터 공개된 상황이었습니다. 저희도 익스플로잇 가능성을 자체적으로 확인했고요.” 라피드7의 위협 분석가 케이틀린 콘돈(Caitlin Condon)의 설명이다. “그렇기에 헬로키티 정도로 이름이 알려진 공격자라면 어느 정도는 능숙하게 익스플로잇을 할 수 있어야 합니다. 하지만 이번 두 건의 공격만 보자면 그렇지 않았습니다. 패치를 적용하고 위험 완화 대책만 잘 도입하면 적어도 헬로키티의 공격은 그리 방어가 어렵지 않을 것 같습니다.”

3000개 넘는 시스템이 공격에 노출돼 있어
셰도우서버(ShadowServer)가 10월 30일 조사한 바에 의하면 취약한 상태로 인터넷에 노출되어 있는 액티브MQ 시스템들은 3329개로 집계되고 있다고 한다. 액티브MQ는 인기가 양호한 오픈소스 메시지 브로커로 애플리케이션, 서비스, 시스템 간 메시지가 활발히 오갈 수 있도록 해 준다. 자바를 기반으로 하고 있다. 데이터 분석 업체인 엔리프트(Enlyft)는 13120개 기업들이 현재 액티브MQ를 사용하고있다고 추정하고 있기도 하다.

CVE-2023-46604 취약점은 현재 다음 애플리케이션 버전들에서 발견되고 있다.
1) 아파치 액티브MQ 5.18.3 이전 버전과 5.17.6 이전 버전
2) 액티브MQ 레거시 오픈와이어 모듈(Legacy OpenWire Module) 5.18.3 이전 버전과 5.17.6 이전 버전
ASF 측은 이 취약점에 CVSS 기준 10점 만점을 주었다. 가장 심각한 위험도를 가진 것으로 분석한 것이다. 따라서 조속한 패치를 ASF는 강력히 권고하는 중이다.

글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>