요약 : 보안 외신 시큐리티위크에 의하면 랜섬웨어 갱단들이 최근 패치된 VM웨어 ESXi의 취약점들을 익스플로잇 하고 있다고 한다. 문제의 취약점은 CVE-2024-37085이며 약 1주일 전에 패치가 발표됐다. CVSS 기준 6.8점 정도에 그친 중위험군 취약점이지만 최근 다수 랜섬웨어 갱단들의 주목을 받고 있는 것으로 보인다. 익스플로잇에 성공한 공격자는 피해자의 시스템을 완전히 장악할 수 있게 된다. MS가 발견한 바에 의하면 현재까지 스톰0506(Storm-0506), 스톰1175(Storm-1175), 옥토템페스트(Octo Tempest)와 같은 유명 랜섬웨어 조직들이 이 취약점을 공략하는중이라고 한다.


배경 : ESXi는 가상기계들을 한꺼번에 관리할 수 있게 해 주는 일종의 하이퍼바이저다. 따라서 여기에 한 번 접근하는 데 성공하면 공격자들이 할 수 있는 일이 대단히 많아진다. 그래서 ESXi는 항상 공격자들의 연구 대상이다. VM웨어도 이 사실을 알고 있어 패치를 지연시키지 않는 편이다. 하지만 이번 캠페인과 관련된 경고는 MS에서만 나온 상황이고, 아직 VM웨어 측에서는 대응이 없다.

말말말 : “공격자들은 취약점을 익스플로잇 한 후 관리자 계정을 하나 더 만들어 공격에 활용하고 있습니다. ESXi 하이퍼바이저 사용자들은 수상한 계정의 유무부터 확인해야 합니다.” -MS-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>