MS가 3월에 패치한 SMB 관련 취약점...워머블 특성 가지고 있어 특히 위험
익스플로잇 수차례 발표됐으나 원격 코드 실행은 없어...최근 이 부분도 공개돼

[보안뉴스 문가용 기자] 미국 국토안보부 산하 사이버 보안 담당 기관인 CISA가 윈도우 사용자들에게 “SMB고스트(SMBGhost)라는 익스플로잇을 통한 실제 공격이 발생하고 있다”고 경고했다.


SMB고스트는 코로나블루(CoronaBlue)라고도 알려진 취약점으로 CVE-2020-0796이라는 번호로 관리되고 있다. 서버 메시지 블록(Server Message Block, SMB) 3.0 버전과 관련이 있는데, 특히 특정 요청을 처리하는 과정에서 발동된다. 윈도우 10과 윈도우 서버에서 발견되며, 디도스 공격과 권한 상승, 임의 코드 실행으로 이어진다.

국토안보부에 따르면 사이버 공격자들은 공격 표적을 정하고, 여기로 악성 패킷을 전송함으로써 취약점을 익스플로잇 할 수 있게 된다고 한다. 클라이언트 공격은 피해자가 악성 SMB 서버로 연결하도록 꼬드김으로써 가능하다.

이 취약점을 처음 발표했을 때 MS는 “워머블(wormable)” 공격이 가능하다고 설명했었다. 즉 자가 증식이 가능하다는 건데, 이는 대단히 위험한 특성이다. MS가 패치와 취약점 보완책을 발표한 건 3월의 일이다.

그런데 MS가 CVE-2020-0796을 공개하고 얼마 지나지 않아 개념증명용 익스플로잇이 공개됐다. 다만 디도스 공격과 권한 상승 공격만을 위한 익스플로잇이었다. 뿐만 아니라 여러 보안 기업들과 전문가들도 익스플로잇 개발에 성공했다고 발표하기 시작했다. 하지만 공개된 것은 최초의 익스플로잇 하나 뿐이었다.

지난 주 촘파이(Chompie)라는 온라인 이름을 사용하는 보안 전문가가 SMB고스트 익스플로잇을 공개했다. 원격 코드 실행을 가능하도록 해주는 것이었다. 촘파이는 “교육 목적으로 만들었다”며, “보안 업체 젝옵스(ZecOps)가 며칠 있다가 개념증명을 공개할 예정이며, 패치도 3월에 나온 상황이라 익스플로잇을 지금 공개하는 건 별 일 아니”라고 주장했다.

촘파이는 “(자신이 공개한)개념증명 익스플로잇은 안정적이지 않으며, 시스템 마비를 곧잘 일으킬 것”이라고 말했다. 따라서 공격에 사용하기에 적당하지 않다는 것이다. 그러나 몇몇 전문가들이 “해당 익스플로잇을 통해 원격 코드 실행에 성공했다”고 증언하고 나섰다.

이에 CISA는 “SMB고스트 취약점에 대한 패치를 적용하고 방화벽을 사용해 SMB 포트들을 차단하라”고 권고했다. 또한 실제 해킹 공격에 SMB고스트가 활용되고 있으니 조속히 조치를 취하라고도 전달했다. “MS가 패치를 발표한 건 3월입니다만, 아직도 해당 취약점을 공격하는 해커들의 행위가 발견되고 있습니다.”

CISA의 경고가 나오기 전부터 일부 보안 전문가들은 SMB고스트 취약점을 익스플로잇 함으로써 권한을 상승시키는 사례들이 발견되고 있다고 경고해왔다. 공격자들이 이 취약점을 선호하는 건 로컬 네트워크에서 퍼지기 용이하기 때문이다. CISA의 경고가 이전 보안 전문가들의 경고와 다른 점은 ‘원격 코드 실행 공격’이 추가되었다는 것이다.

한편 멀웨어 연구 단체인 멀웨어머스트다이(MalwareMustDie)는 SMB고스트 취약점이 있는 서버를 쉽게 찾을 수 있게 해주는 오픈소스 도구를 활용하는 사이버 공격 사례가 적발되었다는 보고서를 발표한 바 있다.

3줄 요약
1. 미국 국토안보부, SMB고스트 취약점 활용한 공격에 대한 경고 발표.
2. SMB고스트는 3월에 패치된 ‘워머블’ 취약점의 일종으로, 여러 익스플로잇이 존재함.
3. 최근 한 보안 전문가가 ‘이미 오래된 취약점’이라며 또 다른 익스플로잇 공개.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>