요약 : 보안 외신 블리핑컴퓨터에 의하면 고애니웨어MFT(GoAnywhere MFT)라는 파일 전송 소프트웨어의 취약점 익스플로잇 코드가 공개됐다고 한다. CVE-2024-0204라는 취약점에 대한 익스플로잇 코드로, 공격에 성공할 경우 새로운 관리자 계정을 임의로 추가할 수 있게 된다. 그러므로 고애니웨어를 통해 전송되는 모든 파일에 접근하는 게 가능해진다. 이 취약점은 지난 12월에 패치가 됐고(7.4.1 버전), 상세 내용은 대부분 공개되지 않았었다. 그런데 오늘 호라이즌3(Horizon3)에 소속된 보안 팀이 자체 취약점 분석 보고서를 발표하며 개념 증명용 익스플로잇 코드까지 공개했다. 이에 패치되지 않은 고애니웨어MFT 인스턴스를 익스플로잇 하려는 시도가 증가할 것으로 예상된다.


배경 : 고애니웨어는 2023년 클롭(Cl0p)이라는 랜섬웨어 조직이 침해한 것으로 유명해진 소프트웨어다. 당시 클롭은 제로데이였던 CVE-2023-0669를 몰래 익스플로잇 해서 수많은 기업들을 침해하는 데 성공했다. ‘수많은 기업들’이라고 하는 건, 아직까지도 정확한 피해 규모가 확인되지 않고 있기 때문이다. 그만큼 큰 공격 효과를 클롭이 누렸다는 뜻이 된다. 클롭은 그 이후 무브잇(MOVEit)이라는 또 다른 파일 전송 프로그램의 제로데이를 통해 똑같은 공격을 실시하고, 더 많은 이득을 갈취했다.

말말말 : “패치를 당장 적용할 수 없다면 먼저 InitialAccountSetup.xhtml 파일을 삭제하고 빈 파일을 새롭게 만든 다음 소프트웨어를 재시작해야 합니다. 그러면 어느 정도 공격 루트를 제한할 수 있습니다.” -고애니웨어-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>