대상 시스템 임의 코드 실행·웹사이트 변조·정보유출 가능해
[보안뉴스 김태형] 트렌드마이크로는 Bash 취약점에 대한 뉴스가 나온 지 채 몇 시간 지나지 않아 벌써 관련 공격이 출현했다고 밝혔다.
이 취약점은 대상 시스템에서 임의 코드를 실행할 수 있고 이는 웹 서버의 콘텐츠와 코드를 변경하는 것에서부터 웹사이트 자체를 변조하거나 데이터베이스로부터 사용자 데이터를 유출하는 것도 가능하다고 언급했다.
|
|
| ▲ 위협 공격 다이어그램 |
트렌드마이크로는 실제로 해당 취약점을 이용한 코드가 포함된 악성코드 샘플에 주목하고 탐지명 ‘ELF_BASHLITE.A’(‘ELF_FLOODER.W’로도 알려짐)으로 알려진 이 악성코드는 DDoS 공격 수행이 가능하며 무차별 대입 공격(Brute Force Attack) 기능도 있어 공격자가 사용자 계정정보를 획득하여 C&C 서버에도 접속한다.
|
|
|
▲ 시스템 상에서 악성코드를 다운로드 하는 기능(스크린샷) |
웹 서버들이 대부분 영향을 받기 때문에 이 취약점의 심각성은 대단히 크고 사물 인터넷(Internet of Everything/Internet of Things)과 연계되어 있는 리눅스와 Bash를 사용하는 기기들에 큰 위협을 야기하며 비트코인/비트코인 마이닝에 영향을 미칠 수 있고, 공격자들이 이 취약점을 통해 Bot 군단(armies of bots)을 만들 가능성이 있음이 보고되고 있다.
트렌드마이크로의 서버 보안 솔루션인 ‘Deep Security’는 Bash 취약점을 가진 패치되지 않은 서버를 보호한다. 가상 패치 기능을 통해 취약점이 있는 서버가 패치될 때까지 서버를 취약점으로부터 보호하고 있으며 기존의 고객이라면 간단히 새로운 룰(DSRU14-028)을 적용할 수 있다.
또한 OS 패치가 어려운 환경의 경우 네트워크 기반 보안 장비인 트렌드마이크로의 Deep Discovery에서 사전에 탐지하여 외부 URL을 차단하는 등 본 취약점에 대한 피해를 막을 수 있다. 맥 사용자의 경우에도 맥 전용 바이러스 백신을 통하여 방어가 가능하다.
트렌드마이크로는 자사 제품을 사용하지 않는 사용자들을 위해 홈페이지 (www.trendmicro.com/us/security/shellshock-bash-bug-exploit/index.html)를 통해 취약성 여부를 무료로 확인할 수 있도록 안내하고 있다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
