[긴급] 아파치 OFBiz 치명적 보안취약점, 사이버공격에 악용중…긴급 점검 필수
공격자, 특수하게 조작된 요청 통해 시스템 보안 우회할 수 있고…기존 보안 제어 무력화 가능해
미국 사이버 보안 및 인프라 보안국(CISA)이 아파치(Apache) OFBiz의 치명적인 취약점(CVE-2024-38856)에 대해 경고하며, 해당 취약점이 현재 사이버 공격에 악용되고 있다고 밝혔다. 이 취약점은 CVSS 점수 9.8로 평가되어 위험성이 심각한 수준이다.
이번 취약점은 아파치 OFBiz의 잘못된 권한 처리에서 발생하며, 인증되지 않은 공격자가 아파치 프로그래밍 언어인 그루비(Groovy) 실행코드를 통해 원격 코드 실행을 할 수 있게 한다. 공격자는 특수하게 조작된 요청을 통해 시스템의 보안을 우회할 수 있으며, 이는 기존 보안 제어를 무력화시키는 결과를 초래한다. 이 취약점은 OFBiz 버전 18.12.14 이하의 모든 버전에 영향을 미치며, 버전 18.12.15로의 업데이트가 필수적이다.
소닉월(SonicWall) 보안 연구원들이 처음 발견한 이 취약점은 이전에 알려진 CVE-2024-36104 취약점을 우회할 수 있는 방법으로 보고되었다. 현재 이 취약점은 사용자가 인증 없이도 중요한 엔드포인트에 접근할 수 있는 오버라이드 뷰 기능에서 비롯되며, 이를 통해 원격 코드 실행이 가능하다.
즉 아파치 OFBiz 같은 시스템에서 "오버라이드 뷰" 기능이 잘못 구현되었을 때, 인증되지 않은 사용자도 특정 뷰를 불법적으로 접근하거나 조작할 수 있게 되어 보안 문제가 발생할 수 있다. 이런 경우, 공격자는 시스템의 기본 보안 설정을 우회해 원래 접근할 수 없는 데이터를 보거나 조작할 수 있다.
한편 CISA가 CVE-2024-38856을 ‘알려진 악용 취약점 목록’에 추가한 것은 악용 사례가 증가하고 있기 때문이다. 이 취약점이 실제로 어떻게 악용되고 있는지에 대한 구체적인 정보는 부족하지만, PoC(Proof of Concept) 코드가 공개되면서 위협이 더욱 커지고 있다. 이러한 PoC 코드 공개는 공격자들이 손쉽게 취약점을 악용할 수 있도록 돕는다.
아파치 OFBiz는 다양한 기업에서 널리 사용되고 있는 만큼, 이 취약점을 이용한 공격이 전 세계적으로 확산될 우려가 크다. CISA는 모든 아파치 OFBiz 사용자가 즉시 버전 18.12.15로 업데이트할 것을 강력히 권고하고 있다.
CISA는 미국 연방 기관뿐만 아니라 아파치 OFBiz를 사용하는 모든 조직에 대해 2024년 9월 17일까지 업데이트를 완료할 것을 지시했다. 만약 업데이트가 어려운 상황이라면, 취약한 엔드포인트를 비활성화하거나 네트워크에서 OFBiz 인스턴스를 분리하는 등의 임시 조치를 고려해야 한다고 강조했다. 또한, 네트워크 트래픽을 면밀히 모니터링해 이상 징후를 탐지하고 대응할 필요가 있다.
보안 전문가들은 아파치 OFBiz와 같은 널리 사용되는 시스템의 취약점은 공격자들에게 매우 매력적인 목표가 된다고 경고했다. 특히 PoC 코드가 공개되면, 고급 해커뿐만 아니라 일반적인 공격자들까지도 손쉽게 이 취약점을 악용할 가능성이 커진다.
전문가들은 이번 취약점에 대한 패치뿐만 아니라 전반적인 보안 상태를 재점검할 것을 권장했다. 이는 정기적인 보안 업데이트 적용, 다중 인증(MFA) 강제화, 네트워크 분할 등을 포함하며, 이러한 조치들은 향후 발생할 수 있는 취약점들로부터 시스템을 보호하는 데 필수적이다.
[PASCON 2024] 하반기 최대 사이버보안 컨퍼런스 초대!(보안담당자 7시간 보안교육이수)
▶주최: 데일리시큐
▶후원: 개인정보보호위원회, 한국정보보호산업협회
▶대상: 정부·공공·공기업·정부산하기관·금융·의료·교육·일반기업 개인정보보호 및 정보보안 담당자 1,000여명 (단, 현업 보안실무자 이외 프리랜서, 학생, 일반인 등은 보안과 관련 없는 자는 참석 금지)
▶일시: 2024년 9월 10일 화요일 오전 9시~오후 5시
▶장소: 더케이호텔서울 2층 가야금홀+거문고홀A 및 로비
▶인원: 개인정보보호 및 정보보안 실무자 1,000여 명
▶전시회: 국내외 최신 보안솔루션 전시회(30여개 기업 참여)
▶참가비: 무료/1일 주차권 지급/점심식사는 제공하지 않습니다.
▶보안교육: 사전등록+현장참석+설문제출자에 한해 7시간 교육이수증 발급
▶사전등록: 9월 8일 오후 5시 마감
▶사전등록링크: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★