CISA(Cybersecurity and Infrastructure Security Agency)는 최근 2021년에 악의적인 사이버 공격자가 자주 악용하는 상위 15개의 보안취약점과 자주 악용되는 기타 CVE에 대한 세부 정보를 공개했다.
미국, 호주, 캐나다, 뉴질랜드 및 영국 사이버 보안 당국은 2021년에 악의적인 사이버 공격자가 전 세계 공공 및 민간 부문 조직을 포함한 광범위한 타깃에 대해 공격했으며 오래된 알려진 소프트웨어 보안취약점을 지속적으로 악용했다고 전했다.
주요 내용에 따르면, 전세계적으로 2021년에 악의적인 사이버 공격자들이 이메일 서버 및 VPN(가상 사설망) 서버와 같은 인터넷 연결 시스템을 표적으로 삼아 새로 공개된 취약점을 악용했다. 악용된 대부분의 취약점에 대해 연구원이나 다른 공격자는 취약점이 공개된지 2주 이내에 POC(개념 증명) 코드를 공개해 공격을 촉진시켰다.
사이버 공격자들은 알려진 보안취약점을 지속적으로 악용하고 있다. 소프트웨어 공급자들이 더 이상 보안패치를 적용하지 않는 소프트웨어를 사용하는 기관들은 계속해서 공격의 타깃이 되고 있다는 것이다.
◇2021년 가장 많이 악용된 상위 15개 보안취약점
▲CVE-2021-44228. Log4Shell로 알려진 취약점은 오픈 소스 로깅 프레임워크인 Apache의 Log4j 라이브러리에 영향을 미친다. 공격자는 특수하게 조작된 요청을 취약한 시스템에 제출하여 해당 시스템에서 임의 코드를 실행하도록해 이 취약점을 악용할 수 있다. 이 요청을 통해 사이버 공격자가 시스템을 완전히 제어 할 수 있다. 그런 다음 공격자는 정보를 훔치거나, 랜섬웨어를 시작하거나, 기타 악의적인 활동을 수행할 수 있다. Log4j는 전 세계 수천 개의 제품에 통합되어 있다. 이 취약점은 2021년 12월에 공개되었다. 취약점의 급속한 확산은 악의적인 행위자가 알려진 취약성을 신속하게 무기화하고 패치하기 전에 조직을 대상으로 공격할 수 있는 상황이었다.
▲CVE-2021-26855, CVE-2021-26858, CVE-2021-26857, CVE-2021-27065. ProxyLogon으로 알려진 이러한 취약점은 Microsoft Exchange 전자 메일 서버에 영향을 준다. 이러한 취약성을 함께 성공적으로 악용하면 인증되지 않은 사이버 공격자가 취약한 Exchange 서버에서 임의 코드를 실행할 수 있으며, 이를 통해 행위자는 서버의 파일 및 사서함은 물론 서버에 저장된 자격 증명에 지속적으로 액세스할 수 있다. 또한 악용을 통해 사이버 공격자는 취약한 네트워크에서 신뢰와 신원을 손상시킬 수 있다.
▲CVE-2021-34523, CVE-2021-34473, CVE-2021-31207. ProxyShell로 알려진 이러한 취약점은 Microsoft Exchange 전자 메일 서버에도 영향을 준다. 이러한 취약성을 함께 성공적으로 악용하면 원격 공격자가 임의 코드를 실행할 수 있다. 이러한 취약점은 일반적으로 Microsoft IIS(인터넷 정보 서비스)(예: Microsoft 웹 서버)의 포트 443에서 실행되는 CAS(Microsoft 클라이언트 액세스 서비스) 내에 있다. CAS는 일반적으로 사용자가 모바일 장치 및 웹 브라우저를 통해 이메일에 액세스 할 수 있도록 인터넷에 노출된다.
▲CVE-2021-26084. Atlassian Confluence Server 및 Data Center에 영향을 미치는 이 취약점으로 인해 인증되지 않은 행위자가 취약한 시스템에서 임의 코드를 실행할 수 있다. 이 취약점은 POC가 공개 된 지 일주일 이내에 출시 된 후 가장 일상적으로 악용되는 취약점 중 하나가 되었다. 이 취약점에 대한 대량 악용 시도는 2021년 9월에 관찰되었다.
2020년에는 일상적으로 악용되는 상위 15개 취약점 중 세 가지 CVE-2020-1472, CVE-2018-13379 및 CVE-2019-11510 등이 가장 많이 악용되었다. 공격자들이 이런 취약점들을 지속적으로 악용하는 것은 많은 조직이 적시에 소프트웨어를 패치하지 않고 있기 때문이다.
★정보보안 대표 미디어 데일리시큐!★
