• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

엘라스틱서치 클러스터 노리는 공격자들 늘어나고 있다 2019.02.28

CVE-2014-3120과 CVE-2015-1427 취약점이 문제의 핵심
현재까지의 분석 결과 중국 해커들과의 희미한 연관성 드러나

[보안뉴스 문가용 기자] 시스코 탈로스(Cisco Talos) 팀이 제대로 보안 장치가 갖춰지지 않거나 설정이 제대로 되어 있지 않은 엘라스틱서치(Elasticsearch) 클러스터를 노리는 사이버 공격이 최근 급증하고 있다고 경고했다.

[이미지 = iclickart]


이 공격의 핵심은 1.4.2 및 이전 버전의 취약점들을 익스플로잇 해서 스크립트를 실행해 멀웨어를 드롭하는 것이다. 이 때 멀웨어는 주로 암호화폐 채굴 소프트웨어라고 한다. 공격자들이 주로 노리는 취약점은 CVE-2014-3120과 CVE-2015-1427이다. 둘 다 오래된 취약점들로, 검색 쿼리로 스크립트를 전송할 수 있게 해준다.

개중에서 활발하게 움직이는 공격자들은 CVE-2015-1427 취약점을 통해 두 개의 주력 페이로드를 설치하는 데 집중한다고 탈로스 팀은 설명한다. 이 페이로드 두 개는 전부 같은 배시 스크립트를 다운로드 하는 기능을 가지고 있다. 탈로스 팀은 “결국 같은 기능을 가진 페이로드를 두 개나 운영하는 것으로 보아 공격 성공을 위해 치밀하게 움직이는 것으로 보인다”고 설명한다.

배시 스크립트는 보안 장치들을 비활성화시키고, 동시에 다른 악성 프로세스를 종료시키는 기능을 담당한다. “보통은 다른 채굴 멀웨어가 있는지 확인하고 삭제하는 걸 말합니다. 이 컴퓨터는 나만 채굴용으로 사용하겠다는 의지죠.” 그런 후에는 authorized_keys 파일에 멀웨어의 RSA 키를 삽입한다. 그렇게 지속적인 공격(채굴) 기반을 확보한 후 채굴 멀웨어를 다운로드 받는다.

정확히는 UPX로 압축된 ELF 실행파일이 다운로드 된다. 이 파일 안에는 여러 다양한 시스템에서 원격 코드 실행을 가능하게 하는 취약점들에 대한 익스플로잇이 들어 있다. 이 취약점들은 다음과 같다.
1) 드루팔(Drupal)의 CVE-2018-7600
2) 오라클 웹로직(Oracle WebLogic)의 CVE-2017-10271
3) 스프링 데이터 커먼스(Spring Data Commons)의 CVE-2018-1273
이 익스플로잇들은 주로 HTTPS를 통해 작동한다.

또 다른 단체도 눈에 띈다고 탈로스 팀은 계속해서 경고한다. 이 그룹의 경우 CVE-2014-3120 취약점을 익스플로잇 해서 빌 게이츠와 관련된 디도스 공격형 멀웨어를 퍼트린다고 한다.

한 단체 역시 CVE-2014-3120 취약점을 익스플로잇 하는데, 그 목적은 LinuxT라는 이름의 파일을 HTTP 파일 서버로부터 다운로드 받는 것이다. 이 파일은 현재 해당 서버에 호스팅되어 있지 않은 상태다. 탈로스 팀은 이 파일이 스파이크 트로이목마(Spike Trojan)의 변종일 가능성이 높다고 보고 있다. 공격 대상이 되는 시스템은 x86, MIPS, ARM 아키텍처라고 한다.

“그런데 간혹 LinuxT를 다운로드 하려는 호스트들이 echo ┖qq952135763┖라는 명령을 실행시키는 페이로드를 드롭하는 것이 발견됐습니다. 이 명령은 중국의 인기 높은 소셜 미디어 사이트인 QQ의 한 계정을 참조하는 것으로 보입니다.”

그러나 탈로스 팀은 공격자들이 운영하는 것으로 보이는 QQ 계정을 찾아낼 수 없었다. 다만 중국판 깃허브라고 불리는 기티(Gitee)에서 공격자의 것으로 보이는 페이지와 중국의 해킹 포럼인 xiaoqi7의 계정 하나를 찾는 데에는 성공했다.

공격자는 더 있다. CVE-2015-1427 취약점을 익스플로잇 하려는 단체로, 위에서 언급된 echo ┖qq952135763┖ 명령과 echo ┖952135763┖ 명령 모두를 실행하는 페이로드를 드롭했다. 그러나 LinuxT를 다운로드 하려는 시도는 발견되지 않았다. 그 외에도 엘라스틱서치 클러스터를 겨냥한 공격 단체는 세 개 이상이 추가로 발견됐다. 다만 이들은 익스플로잇을 통해 멀웨어를 전달하려고 하지 않았다.

“엘라스틱서치 클러스터에 저장된 데이터의 방대함과 민감성을 고려했을 때, 이런 식의 공격이 이어지는 건 필연적으로 발생할 수밖에 없는 일이었습니다. 게다가 이런 데이터베이스의 관리 실태도 그리 좋지 않죠. 하지만 공격에 당할 경우 피해가 심각할 수 있으니 사용자들은 최신화와 환경설정을 다시 한 번 점검하시기를 권장합니다.”

또한 탈로스 팀은 검색 쿼리를 통해 스크립트를 전송할 수 있게 해주는 옵션을 비활성화 할 것을 추가로 권고하기도 했다.

3줄 요약
1. 유출 사고 자주 일어나던 엘리스틱서치 클러스터, 집중적인 공격 대상 되고 있다.
2. 많은 공격자들이 두 가지 취약점을 집중적으로 노리고 있음. 둘 다 오래된 것임.
3. 클러스터의 최신화 서두르고, 일부 스크립트 전송 옵션 비활성화 시키는 것이 안전.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>