ClickCease 경고: 네트워크 침해에 사용되는 Connectwise F5 소프트웨어 결함

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

경고: 네트워크 침해에 사용되는 Connectwise F5 소프트웨어 결함

by 와자핫 라자

2024년 4월 2일 TuxCare 전문가 팀

최근 뉴스 보도 에 따르면 중국과 연결된 것으로 추정되는 해커가 두 가지 유명 취약점을 익스플로잇하는 데 관여했다고 합니다. 이러한 익스플로잇의 목적은 미국 방위 계약업체와 아시아 및 영국의 기타 정부 단체 및 기관을 표적으로 삼는 것입니다. 이 보고서에 따르면 연구원들은 해커가 국가의 지원을 받는 것으로 추정하고 있습니다. 이 문서에서는 이 공격에 대해 설명하고 Connectwise F5 소프트웨어 결함 어떻게 악용되었는지 설명합니다.

시작하겠습니다!

 

UNC5174 및 Connectwise F5 소프트웨어 결함


구글이 소유한 보안 회사인 맨디언트에서 인사이트를 제공하는
인사이트를 제공하는 보고서 인사이트를 제공하는 보고서를 발표했습니다. 이 보고서에는 UNC5174라는 위협 행위자가 다음 결함의 배후일 수 있다고 언급되어 있습니다. Connectwise F5 소프트웨어 결함 익스플로잇의 배후일 수 있다고 언급합니다. 또한 Mandiant의 연구원들은 이 해커가 중국 국가안전부를 대신하여 행동하고 있는 것으로 보고 있습니다.

UNC5174의 최근 활동에 대해 설명하는 보고서의 일부 내용을 발췌하면 다음과 같습니다: "2024년 2월, UNC5174는 주로 미국과 캐나다에 있는 수백 개의 기관을 침해하기 위해 ConnectWise ScreenConnect 취약점(CVE-2024-1709)을 악용하는 것이 관찰되었습니다."

Connect는 지난 2월에도 고객에게 CVE-2024-1709에 대해 경고한 바 있습니다. 당시 이 조직은 여러 고객이 다음 취약점의 희생양이 된 것을 확인했습니다. Connectwise F5 소프트웨어 결함. 연구원들은 또한 CVE-2023-46747을 악용하는 UNC5174도 발견했습니다. 이러한 익스플로잇은 F5 BIG-IP. 이 보고서는 두 익스플로잇 모두에서 UNC5174 고유의 맞춤형 툴을 사용한 것이 분명하다고 설명합니다.


Connectwise F5 취약점과 중국 스파이 활동 


맨디언트의 연구원들은 이번 공격이 중국 스파이 활동의 가능성을 암시한다고 밝혔습니다. 추가 인사이트를 제공하는 발췌문은 다음과 같습니다:
"중국과 연계된 공격자들은 대규모 스파이 활동을 가능하게 하기 위해 F5 BIG-IP 및 ScreenConnect와 같이 널리 배포된 엣지 어플라이언스에 대한 취약성 연구를 지속적으로 수행하고 있습니다. 이러한 작전에는 맞춤형 또는 공개적으로 사용 가능한 개념 증명 익스플로잇을 사용하여 최근에 공개된 취약점을 신속하게 익스플로잇하는 것이 포함됩니다."

주어진 공격 순서 최근 발생한 Connectwise F5 소프트웨어 결함 의 공격 순서를 고려할 때, 위협 행위자들이 보고서에 언급된 모델을 밀접하게 따르고 있다고 말할 수 있습니다. 또한, 이들의 활동을 통해 MSS가 글로벌 조직을 공격하는 데 사용하는 초기 액세스 브로커 시스템에 대한 통찰력을 얻을 수 있습니다. 현재로서는 UNC5174가 NGO, 학술 기관 및 정부 기관에 지속적으로 위협이 될 것으로 전문가들은 보고 있습니다.


Connectwise F5 소프트웨어 결함 익스플로잇 세부 정보 


위협 행위자가 발판을 마련하면 인터넷에 연결된 시스템에서 악용 가능한 취약점을 스캔하기 시작합니다. 또한 UNC5174는 관리자 계정을 생성하는데, 이 계정은 상승된 권한을 가지고 있기 때문에 악의적인 의도를 실행하는 데 도움이 됩니다. 또한, 위협 행위자는 SNOWLIGHT라는 이름의 C 기반 ELF 다운로더를 드롭합니다. 

다운로더는 원격 URL에서 획득한 다음 페이로드인 고어버스를 전달하고 슈퍼쉘과 통신하도록 설계되어 있습니다. 익스플로잇에 관한 한 Connectwise F5 소프트웨어 결함 을 악용하는 것과 관련하여, GOREVERESE와 SUPERSHELL은 모두 위협 공격자가 리버스 SSH 퍼널을 만들 수 있게 해줍니다.

그런 다음 이 퍼널을 사용하여 셸 세션을 시작하여 임의의 코드 실행. 커넥트와이즈 F5 소프트웨어 결함을 악용할 때, 위협 행위자는 GOHEAVY라는 추가적인 골란드 기반 터널링 툴도 사용합니다. 이 도구는 네트워크 내에서 측면 이동을 지원하는 데 사용되어 위협 행위자가 공격 표면을 확장할 수 있도록 합니다.

최근 보고에 따르면 위협 행위자가 CVE-2023-46747 패치에 관여한 흥미로운 사례가 발견되었습니다. 보고서에 따르면 이 패치의 동기는 다른 사람들이 동일한 허점을 악용하지 못하도록 하기 위한 것입니다. 여기서 언급할 가치가 있는 것은 UNC5174가 다양한 위협 행위자 그룹과 연결되어 있으며 2023년 중반에 떠난 것으로 추정된다는 점입니다.

또한 위협 행위자는 이제 액세스 작업을 실행하고 손상된 환경에 대한 액세스를 중개하는 데 중점을 둡니다. 이를 감안할 때, 다음과 같은 결론을 내릴 수 있습니다. Connectwise F5 소프트웨어 결함 익스플로잇의 경우, 위협 행위자가 다시 한 번 MSS의 지원을 받아 액세스 브로커 역할을 하고 있다는 결론을 내릴 수 있습니다.


결론 


중국의 지원을 받는 것으로 추정되는 UNC5174가 다음을 악용하는 것이 관찰되었습니다.
Connectwise F5 소프트웨어 결함 악용하는 것이 관찰되었습니다. 최근 보고서에 따르면 미국 방위 계약업체와 아시아 및 영국의 기타 정부 기관 및 기관이 이 공격의 주요 표적이 되는 것으로 추정됩니다.

위협 행위자가 허점을 막고, 액세스를 중개하고, 측면 이동을 수행하고, 공격 표면을 확장할 수 있다는 점에서 이 익스플로잇은 매우 심각합니다. 공격의 심각성을 고려할 때, 강력한 사이버 보안 조치를 강력한 사이버 보안 조치 강력한 사이버 보안 조치를 배포하는 것은 이제 조직 시스템을 보호하는 데 필수적입니다. Connectwise F5 소프트웨어 위험을 완화하는 데 필수적입니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스The Record.

요약
경고: 네트워크 침해에 사용되는 Connectwise F5 소프트웨어 결함
기사 이름
경고: 네트워크 침해에 사용되는 Connectwise F5 소프트웨어 결함
설명
위협 행위자가 사용자 지정 도구를 사용하여 Connectwise F5의 결함을 악용하는 것이 관찰되었습니다. 공격에 대해 자세히 알아보고 시스템을 보호하세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기