해커들이 GFI 케리오컨트롤(KerioControl)의 치명적인 보안취약점을 악용해 관리자 CSRF 토큰을 탈취하고 있다. 이 취약점은 CVE-2024-52875로 등록된 CRLF 인젝션(CRLF Injection) 취약점으로, 이를 통해 원격 코드 실행(RCE) 공격을 1클릭으로 수행할 수 있어 심각한 보안 위협을 초래하고 있다.

CVE-2024-52875 취약점은 케리오컨트롤 9.2.5부터 9.4.5 버전까지 영향을 미치며, dest 파라미터에서 줄 바꿈 문자(Line Feed, LF)에 대한 불충분한 검증으로 인해 발생한다. 이를 통해 HTTP 헤더와 응답 내용을 조작할 수 있으며, 악성 자바스크립트(JavaScript)가 서버 응답에 삽입될 경우 피해자의 브라우저에서 실행된다.

악성 스크립트가 실행되면 인증된 관리자 사용자의 쿠키 또는 CSRF 토큰을 탈취할 수 있다. 해커는 탈취한 CSRF 토큰을 사용해 악성 .IMG 파일을 업로드하고, 이를 통해 루트 권한의 쉘 스크립트를 실행할 수 있다. 이 과정에서 케리오 업그레이드 기능을 이용해 공격자는 역방향 쉘(reverse shell)을 열어 시스템을 원격 제어할 수 있게 된다.

지난 2024년 12월 16일, 보안 연구원 에지디오 로마노(Egidio Romano, 별칭 EgiX)는 CVE-2024-52875에 대한 기술 분석 보고서를 공개했다. 그는 HTTP 응답 분할 문제와 같은 낮은 심각도의 문제도 전체 RCE 공격으로 확대될 수 있음을 시연하며 이 취약점의 심각성을 강조했다.

이 취약점은 이미 실제 환경에서 악용되고 있다. 위협 정보 플랫폼 그레이노이즈(Greynoise)는 로마노가 발표한 개념 증명(PoC) 코드를 기반으로 한 것으로 보이는 악성 활동을 탐지했다고 밝혔다. 네 곳의 IP 주소에서 취약점을 악용하려는 시도가 확인됐으며, 이는 단순 연구 목적이 아닌 악성 공격으로 판명됐다.

또한, 센시스(Censys)는 인터넷에 노출된 케리오컨트롤 인스턴스가 전 세계적으로 23,862건에 달한다고 보고했지만, 이 중 CVE-2024-52875에 취약한 인스턴스의 정확한 숫자는 확인되지 않았다. 이러한 글로벌 확산과 취약점의 심각성은 영향을 받는 조직이 신속하게 조치를 취해야 할 필요성을 보여준다.

GFI 소프트웨어(GFI Software)는 지난 2024년 12월 19일, 취약점을 해결한 케리오컨트롤 9.4.5 패치 1 버전을 배포했다. 이번 패치는 CRLF 인젝션 문제를 수정해 악용 가능성을 차단했다. 관리자는 즉시 시스템을 업데이트해야 안전할 수 있다.

패치를 적용할 수 없는 상황이라면 다음과 같은 완화 조치를 권고한다:

우선 케리오컨트롤의 웹 관리 인터페이스에 대한 접근을 신뢰할 수 있는 IP 주소로 제한한다. 그리고 /admin 및 /noauth 페이지에 대한 공개 접근을 방화벽 규칙을 통해 비활성화하고, dest 파라미터를 대상으로 한 악성 활동을 모니터링한다. 그리고 세션 만료 시간을 단축해 CSRF 토큰 탈취로 인한 위험을 최소화 조치를 취해야 한다.

보안 전문가들은 원격 코드 실행 공격이 가능한 취약점의 경우 신속한 패치 관리가 무엇보다 중요하다고 강조했다. 이 취약점을 방치하는 것은 집 대문을 활짝 열어두는 것과 다를 바 없다는 것이다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★