• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

아파치 스트러츠 2 취약점, 벌써 익스플로잇 코드 나와 2018.08.28

권고문 나온지 이틀만에 깃허브를 통해 익스플로잇 코드 등장
에퀴팩스 사건 일으킨 지난 해 취약점보다 더 치명적으로 작용할 수도

[보안뉴스 문가용 기자] 아파치 스트러츠 2(Apache Strusts 2)에서 원격 코드 실행 취약점이 발견되었다는 소식이 나오자마자 이를 익스플로잇 하는 코드가 깃허브에 등장했다. 아파치 스트러츠 2의 버그가 공개된 지 며칠 지나지 않은 시점이다.

[이미지 = iclickart]


문제의 버그는 CVE-2018-11776으로, 스트러츠 2.3~2.3.34 버전과 스트러츠 2.5~2.5.16 버전에서 발견됐다. 이를 처음 발표한 보안 회사 세믈(Semmle)은 권고문을 통해 “널리 사용되는 스트러츠 엔드포인트들에 영향을 주는 버그”라고 설명했다.

게다가 이 문제는 스트러츠 OGNL(Object-Graph Navigation Language) 언어와도 관련이 있는 것으로, 보통 공격자들은 이 언어에 매우 능숙한 모습을 보인다.

이 취약점을 익스플로잇 하려면 공격자가 HTTP 요청에 자신이 만든 네임스페이스(namespace)를 매개변수로서 주입해야 한다. 세믈에 의하면 스트러츠 프레임워크가 이 매개변수의 값을 확인하는 절차에 문제가 있으며, 이 때문에 여기에 들어갈 수 있는 값은 아무 OGNL 문자열이라고 한다.

이 취약점에 대한 내용은 세부적으로 공개되지 않았다. 악용될 소지가 높기 때문이다. 물론 세믈은 이미 지난 4월에 아파치 소프트웨어 재단(Apache Software Foundation)에 이 같은 사실을 알렸지만, 이는 비공개였다. 아파치 소프트웨어 재단이 이를 받아 권고문을 발표했는데, 대략적인 내용만 담겨 있었다.

그런데 단 이틀만에 개념증명이 개발되어 공개된 것이다. 게다가 지난 주 금요일 보안 업체 레코디드 퓨처(Recorded Future)는 개념증명만이 아니라 익스플로잇을 간편하게 해주는 파이선 스크립트도 발견했다고 발표했다. 그러면서 중국과 러시아의 지하 포럼에서 아파치 스트러츠 2의 익스플로잇에 대한 주제로 이야기가 진행되고 있는 걸 목격하기도 했다고 밝혔다.

레코디드 퓨처에 의하면 CVE-2018-11776은 지난 해 에퀴팩스(Equifax) 사건의 핵심으로 밝혀진 또 다른 아파치 스트러츠 취약점 CVE-2017-5638에 비해 익스플로잇이 더 쉽다고 한다. 취약한 시스템이 수천만 대가 넘어가는 것으로 예상되는 상황이지만 대부분 백엔드 애플리케이션 서버단에 있기 때문에 검사가 쉽지만은 않을 것으로 보인다.

“또한 이번에 새롭게 공개된 아파치 스트러츠 취약점은 2017년에 발견된 것보다 더 심각한 피해를 초래할 수 있습니다. 예전 취약점과 달리 이번 것은 플러그인을 필요로 하지 않기 때문입니다. 간단하게 조작된 URL만 있으면 공격자가 피해자의 아파치 스트러츠에 접근할 우 있으며, 그 익스플로잇 코드는 이미 깃허브에 나와있는 상태입니다.” 레코디드 퓨처의 수석 보안 아키텍트인 알란 리스카(Allan Liska)의 설명이다.

그러나 세믈은 아직 깃허브에 올라와 있는 개념증명이 제대로 된 것인지, 작동에 별 문제가 없는지 공식적으로 확인하지 않고 있다. 다만 깃허브의 코드를 잘 사용하면 기업 내 네트워크로 공격자들이 빠르고 쉽게 접근할 수 있을 것 같다고만 말했다.

“패치가 발표되는 것과 기업들이 실제로 소프트웨어를 업그레이드 하는 것 사이에는 시간 차가 존재합니다. 스트러츠와 같은 소프트웨어의 즉각적인 업데이트가 힘든 데에는 여러 가지 이유가 있습니다. 사업에 절대적으로 필요한 요소들에 스트러츠가 널리 사용되기 때문에 함부로 손을 댈 수가 없는 겁니다. 그래서 저희 세믈은 아파치 재단과 함께 공동으로 대책을 마련하고 있으며, 이러한 시간차를 고려해서 소식들을 발표할 예정입니다.” CEO인 외게 드 무어(Oege de Moor)의 설명이다.

또한 드 무어는 “에퀴팩스 사건은 취약점을 고치지 않아서 발생한 게 아니”라고 강조했다. “취약점 패치와 업데이트 적용 사이의 시간차 때문에 발생한 것이죠. 만약 이번에 깃허브를 통해 나타난 개념증명이 제대로 된 것이라면, 소프트웨어 업데이트를 하지 않은 기업들에는 더 큰 위협이 존재하는 것과 같습니다.”

3줄 요약
1. 지난 주 발표된 아파치 스트러츠 2 취약점, 벌써 개념증명 등장.
2. 해킹 포럼에서도 이 취약점의 공략법이 자주 이야기 되고 있음.
3. 패치가 까다로울 수 있지만, 서둘러야 할 듯.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>