• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

취약한 아파치 액티브엠큐를 노리는 해킹 시도, 최근 급증하고 있어 2024.01.23

10점 만점에 10점 취약점이 등장하는 건 흔치 않다. 그런데도 이런 취약점을 패치하지 않고 몇 달이나 방치해 두는 행태는 매우 흔하다.

[보안뉴스 문가용 기자] 새로운 사이버 공격 캠페인이 발견됐다. 아파치 액티브엠큐(Apache ActiveMQ)에서 발견된 원격 코드 실행 취약점을 노리는 것으로, 이 취약점 자체는 이미 지난 10월 아파치소프트웨어재단(Apache Software Foundation, ASF)에서 개발해 배포한 바 있다.

[이미지 = gettyimagesbank]


이번 캠페인의 특이한 점은 공격자들이 사용하는 악성 페이로드가 고질라(Godzilla)라는 웹셸을 기반으로 하고 있다는 것이다. 고질라는 침해된 시스템을 공격자가 완전히 장악할 수 있게 해 주는 웹셸로, 일부 공격자들 사이에서는 예전부터 사용되어 왔었다.

문제의 액티브엠큐 취약점은 CVE-2023-46604로, CVSS 기준 10점 만점에 10점을 받은 최상위 초고위험도 취약점이다. 게다가 아파치 액티브엠큐는 메시지 브로커 기술로서 오픈소스 형태로 풀려 있고, 광범위하게 사용되고 있어서 이 취약점의 여파는 매우 큰 것으로 판단됐었다. 그러니 패치가 나왔어도 여전히 공격자들이 이 취약점을 노리는 것이기도 하다.

취약한 액티브엠큐 서버, 3400개 넘어
보안 업체 트러스트웨이브(Trustwave)가 발견한 바에 의하면 공격자들은 아직까지 한 번도 발견된 적 없는 바이너리를 사용해 고질라 웹셸을 숨기고, 그럼으로써 시그니처 기반 스캐너들로부터 고질라(정확히는 고질라를 기반으로 한 웹셸)가 발각되는 일이 없도록 한다고 한다. 그렇게 액티브엠큐 서버에 고질라가 설치되면 공격자들은 이를 가지고 먼저 포트를 스캔하고 네트워크의 목록을 만든 후 미미캐츠(Mimikatz)를 실행시킨다. 또 미터프리터(Meterpreter)를 사용하고 셸 명령어들을 실행시켜 프로세스 내부에 셸 코드를 주입한다.

트러스트웨이브에 의하면 최근 이러한 식의 활동이 급증하고 있다고 하는데, “한 번은 공격자가 피해자의 액티브MQ 설치파일 내에 admin이라는 폴더를 만들고, 거기에 악성 자바서버페이지(JSP) 파일을 심기도 했다”고 한다. “해당 JSP 파일을 분석했을 때 고질라 코드를 기초로 한 웹셸의 일종임을 알 수 있었습니다. 문제는 공격자가 여러 가지 장치를 해두었기 때문에 이 JSP 파일의 악성을 탐지하는 게 쉽지 않다는 겁니다. 여러 보안 솔루션들을 우회할 수 있을 것으로 보입니다.” 그래서 트러스트웨이브는 침해지표를 공개하며 모두가 이 공격에 대비할 수 있도록 했다.

현재 인터넷 상에는 취약한 상태로 활성화 되어 있는 액티브엠큐 서버가 3400개를 넘는다고 한다. 문제는 이미 11월에도 비슷한 숫자가 취약한 것으로 조사됐었다는 것이다. 즉 10월에 패치가 나오고 첫 한 달 동안 패치한 사람들 외에는 패치를 더 하지 않았다는 뜻이 된다. “취약한 서버들 중 1600개 정도는 아시아에, 750개 정도는 북미에 있는 것으로 분석되고 있습니다.”

문제의 보안 취약점
아파치소프트웨어재단은 CVE-2023-46604를 일종의 ‘비직렬화 문제’로 파악하고 있다. 애플리케이션의 비직렬화 데이터(API 요청, 파일 업로드, 사용자 입력값 등)가 처리되기 전에 조작되었거나 감염되었는지 확인하는 절차가 부족하거나 잘못되었다는 뜻이다. 그렇기에 비직렬화 문제를 공격자가 악용할 경우 임의의 명령을 실행할 수 있게 된다. 검사를 제대로 하지 않는 서버에 악의적으로 만들어진 파일을 전송하면 공격은 끝난다.

이 취약점의 익스플로잇 코드와 기술 세부 내용은 11월초부터 공개되어 왔었다. 공격자들 사이에서 이런 정보가 적극 공유된 것으로 보이며, 현재 여러 공격자들이 암호화폐 채굴 코드나 룻키트, 원격 접근 도구 등을 열심히 심고 있다. 보안 업체 라피드7(Rapid7)의 경우 헬로키티(HelloKitty)라는 랜섬웨어가 이 취약점을 통해 퍼지고 있는 것을 발견해 세상에 알린 바 있다.

3줄 요약
1. 지난 10월에 이미 패치가 나온 아파치 액티브엠큐의 제로데이 취약점, 갑자기 익스플로잇 행위 급증.
2. 특히 고질라를 기반으로 한 웹셸을 공격자들이 열심히 심고 있음.
3. 10점 만점에 10점 취약점인데 패치하는 사용자들은 적음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>