[보안뉴스 호애진] 악성 자바 서버 페이지(JSP)를 통해 유포되는 백도어가 발견됐다. 이는 취약한 자바 기반의 HTTP 서버를 타깃으로 하고 있으며, 감염이 이뤄지면 공격자는 해당 시스템을 하이재킹 할 수 있다.

이를 발견한 보안업체 트렌드마이크로는 블로그를 통해 이같이 밝히고, ‘자바워(JavaWar)’라고 명명된 이 악성코드가 드라이브 바이 다운로드(Drive-by download)로 혹은 다른 악성코드에 의해 드롭되면서 시스템을 감염시킨다고 설명했다.

트렌드마이크로에 따르면, 자바워는 윈도우 7, 비스타, XP, 서버 2003, 2000을 비롯한 윈도우 OS를 타깃으로 하고 있으며, 공격은 제한적으로 일어날 수 있다.

우선, 공격자는 암호 크래킹 툴을 이용해 JSP의 관리자 권한을 획득한다. 이를 통해 감염된 서버로부터 파일을 삭제하거나 수정, 다운로드 혹은 복사할 수 있다.

공격자는 또한 아파치 톰캣(Apache Tomcat)과 같은 자바 서블릿 컨테이너(Java Servlet container)를 공격해 서버로 접속할 수 있는 권한을 얻을 수 있다. 톰캣 웹 애플리케이션 매니저를 이용할 수도 있다.

물론, 민감한 정보에 접속할 수 있는 권한 획득 외에도 공격자는 백도어를 통해 해당 시스템을 제어해 악의적인 다른 행위를 수행할 수도 있다.

이에 트렌드마이크로는 신뢰할 수 있는 사이트만 방문하고 소프트웨어를 항상 최신 버전으로 업데이트 할 것을 조언했다. 뿐만 아니라 암호 크래킹 툴로 공격이 진행되는 만큼 복잡하게 암호를 설정할 것을 당부했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>