• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

두 달 전 패치된 어도비 콜드퓨전 취약점, 실제 공격에 악용돼 2018.11.12

무제한 파일 업로드 가능케 해주는 취약점...임의 코드 실행으로 이어져
공격자들은 다양한 듯...중국 APT 그룹부터 ISIS 지지하는 핵티비스트까지

[보안뉴스 문가용 기자] 최근 발견되고 패치된 어도비 콜드퓨전(Adobe ColdFusion) 웹 애플리케이션 개발 플랫폼의 원격 코드 실행 취약점이 실제 해킹 공격에 악용되고 있다는 소식이다. 이에 대해 보안 업체 볼렉시티(Volexity)가 업계에 알려왔다.

[이미지 = iclickart]


이 취약점은 CVE-2018-15961이며, 지난 9월 어도비 정기 패치를 통해 해결이 된 문제다. 어도비는 “치명적인 무제한 파일 업로드 버그”라고 이 취약점을 정의한 바 있다. 공격자들이 이를 익스플로잇 할 경우 임의의 코드를 실행할 수 있게 된다. 보안 업체 파운데오(Foundeo)의 보안 전문가인 피트 프레이택(Pete Freitag)이 어도비에 보고한 다섯 가지 오류들 중 하나였다.

패치 당시 CVE-2018-15961의 우선순위 점수는 2점에 불과했다. 즉, 실제 공격에 활용될 가능성이 비교적 낮다는 평가를 받았다는 것이다. 하지만 사이버 범죄자들과 해커들은 이를 실제 공격에 익스플로잇 했고, 이에 어도비는 슬쩍 9월 말 권고문 내용을 변경했다. 우선순위 점수도 1점으로 아무런 고지 없이 고쳤다.

볼렉시티에 의하면 “최근 중국의 APT 그룹이 이 취약점을 노리고 차이나 초퍼(China Chopper)라는 오래된 웹셸을 취약한 서버로 업로드하는 것을 목격했다”고 한다. 침해된 웹 서버에는 전부 콜드퓨전 업데이트들이 설치되어 있었는데, CVE-2018-15961에 대한 패치만 빠져있었다. 공격은 어도비의 픽스 발표 이후 2주 만에 발생한 것이라고 한다.

볼렉시티의 분석에 의하면 “어도비가 오래된 FCKeditor라는 WYSIWIG 편집기를 비교적 새로운 버전의 CKEditor로 바꾸면서 취약점이 만들어졌다”고 한다. 이 버그는 2009년에 패치된 콜드퓨전 패치와 매우 흡사하다고 한다.

취약점의 익스플로잇은 어렵지 않다. 특수하게 조작된 HTTP POST 요청을 통해 upload.cfm 파일을 전송하기만 하면 되기 때문이다. 어떠한 인증 절차를 필요로 하지도 않고, 제한도 걸리지 않는다.

CKEditor는 사용자가 특정 파일을 업로드 하지 못하도록 하고 있다. 위험할 수 있는 파일들을 사전에 차단하는 것인데, 여기에는 .exe, .php 파일이 포함되어 있다. 하지만 .jsp 파일은 허용이 된다. 콜드퓨전에서도 .jsp 파일이 파일의 실행이 가능하다.

볼렉시티가 발견한 중국의 APT 그룹은 다른 버그도 익스플로잇 하고 있었다. 최종 도착지 디렉토리를 바꾸게 하는 버그였다. 이 두 가지 취약점을 통해 이들은 웹셸을 업로드시키고 있었다.

볼렉시티 측은 이러한 현상을 발견한 이후 공개적으로 접근이 가능한 콜드퓨전 서버들을 조사하기 시작했다. 꽤나 많은 시스템들이 이미 침해를 받은 것으로 나타났다. 여기에는 정부 기관이나 교육 기관, 의료 건강 및 인권 지원 단체가 포함되어 있었다. 디페이싱 공격부터 웹셸 업로드까지 다양한 공격이 목격됐다.

물론 이 과정에서 조사된 콜드퓨전 서버가 전부 CVE-2018-15961 취약점 때문에 당한 것이라는 확실한 결과는 없다. 하지만 어도비가 9월에 패치를 발표하기 전부터도 해킹 단체들이 이 취약점을 미리 파악하고 익스플로잇 해온 것 같이 보이는 증거들은 꽤나 발견됐다고 한다. "공격자들의 파일 중 일부는 6월 초에 이미 편집되어 있더군요."

일부 공격을 당한 사이트들에서는 핵티비스트 그룹인 아노아고스트(AnoaGhost)의 흔적이 나타나기도 했다. 이들은 인도네시아를 중심으로 활동하는 단체이며, ISIS와의 커넥션이 의심되기도 한다.

3줄 요약
1. 어도비가 지난 9월 고친 취약점, 실제 악용되는 사례 나타나고 있음.
2. 전 세계 콜드 퓨전 서버들 중 다수에서 CVE-2018-15961 취약점 패치 안 되고 있고, 이런 서버들은 침해됨.
3. ISIS를 지지하는 핵티비스트 그룹도 이 취약점 노리고 활동하고 있는 듯.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>