마이크로소프트는 현재 패치는 되었지만 적극적으로 악용된 솔라윈즈(SolarWinds) Serv-U 관리 파일 전송 서비스에 영향을 미치는 심각한 보안 취약점에 대한 기술 세부 정보를 공유하면서, 중국에서 활동하는 해킹조직이 배후에 있을 가능성이 높다고 밝혔다.
더해커뉴스에 따르면, 7월 중순, 마이크로소프트는 공격자가 악성 프로그램을 설치하고 중요한 데이터를 보거나 변경하거나 삭제할 수 있는 기능을 포함하여 감염된 시스템에서 원격 코드 실행이 가능한 Serv-U의 SSH(Secure Shell) 프로토콜 구현에 존재하는 결함(CVE-2021-35211)을 수정했다고 전했다.
마이크로소프트 오펜시브 연구 및 보안 엔지니어링 팀은 익스플로잇을 설명하는 상세한 글에서 "Serv-U SSH 서버는 기본 구성 상태에서 쉽고 안정적으로 악용될 수 있는 사전 인증 원격 코드 실행 취약점에 노출되어 있다"고 밝혔다.
또 "공격자는 열린 SSH 포트에 연결하고 잘못된 형식의 사전 인증 연결 요청을 보내 이 취약점을 악용할 수 있다. 성공적으로 악용되면 우리가 이전에 보고했던 타겟 공격의 경우와 같이 이 취약점을 통해 프로그램을 설치하거나 실행할 수 있다"고 덧붙였다.
마이크로소프트는 관찰된 피해자 유형, 전술 및 절차를 이유로 이번 공격을 중국에 기반을 둔 집단인 DEV-0322와 연계시켰으며, 이 원격의 사전 작성 취약성을 통해 프로세스를 종료하지 않고 액세스 위반을 처리한 방식에서 기인한 것임을 밝혀내어, 은밀하고 신뢰도 높은 착취 시도를 할 수 있음을 드러냈다.
연구원들은 "악용된 취약점은 Serv-U가 처음에 OpenSSL AES128-CTR 컨텍스트를 생성한 방식으로 인해 발생했다. 이는 결과적으로 연속적인 SSH 메시지의 암호 해독 중에 함수 포인터로 초기화되지 않은 데이터를 사용할 수 있게 해준다."라고 말했다.
이어 "공격자는 열려 있는 SSH 포트에 연결하고 잘못된 형식의 사전 인증 연결 요청을 전송하여 이 취약성을 이용할 수 있다. 또한 공격이 용이하도록 Serv-U 프로세스에 의해 로드된 주소 공간 레이아웃 임의화(ASLR) 없이 컴파일된 DLL을 공격자가 사용하고 있다는 것을 발견했다."고 덧붙였다.
ASLR은 버퍼 오버플로 공격을 방지하기 위해 시스템 실행 파일이 메모리에 로드되는 주소 공간 위치를 임의로 정렬하는 보호 메커니즘이다.
솔라윈즈에 이 취약성을 보고한 마이크로소프트는 Serv-U 프로세스에 로드된 모든 바이너리 파일에 대해 ASLR 호환성을 사용할 것을 권장한다.
연구진은 "ASLR은 신뢰할 수 없는 원격 입력에 노출되는 서비스에 대한 중요한 보안 완화 수단이며, Serv-U에서 가능했던 것처럼 공격자가 악용에 하드코딩된 주소를 사용하는 것을 효과적으로 방지하기 위해 프로세스의 모든 바이너리가 호환되어야 한다"고 말했다.
공개된 내용은 적법한 소프트웨어를 이용하는 것을 포함하여 기업 네트워크를 침해하기 위해 위협 행위자가 사용하는 다양한 기술과 도구를 강조하고 있다.
솔라윈즈 공급망 공격은 공식적으로 러시아 APT29 해커의 소행으로 알려져 있지만, 2020년 12월 마이크로소프트는 별도의 스파이 그룹이 Orion 소프트웨어를 이용해 감염된 시스템에 Supernova라는 영구 백도어를 삽입했을 수 있다고 밝혔다.
사이버 보안 회사 시큐어웍스는 이 침입을 Spiral이라는 중국 해킹조직과 연결된 것으로 보고 있다.
[AIS 2021] 국내 최대 인공지능·머신러닝 정보보호 컨퍼런스에 여러분을 초대합니다!(보안교육 7시간 이수)
-인공지능·머신러닝 적용 정보보호 기술과 위협 정보 공유의 장
-2021년 9월 16일 온라인 개최
-공공·금융·기업 정보보호 관계자라면 누구나 무료참석
-보안교육7시간 이수증 발급
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★
