기술 지원
문서
로그인
문의하기
수상한 제로 데이 익스플로잇
조아오 코레이아
2023년 6월 8일 - 기술 에반젤리스트
사이버 보안 및 인프라 보안국 (CISA) 은 "야생에서" 활발하게 악용되는 소프트웨어 취약점으로 인한 위협에 대한 이해를 높이기 위해 정기적으로 업데이트되는 알려진 악용 취약점(KEV) 목록을 관리합니다.
최근 이 기관은 바라쿠다 ESG(이메일 보안 게이트웨이) 어플라이언스에서 발견된 제로데이 취약점(CVE-2023-2868)에 대한 경고를 발표했으며, 이 취약점은 현재 KEV에 추가되었습니다.
이 특정 소프트웨어 솔루션은 삼성, 미쓰비시, 크래프트 하인즈, 델타항공과 같은 대기업을 포함하여 전 세계 200,000개 이상의 조직에서 사용하고 있습니다. 문제의 제로데이 익스플로잇은 바라쿠다의 ESG 어플라이언스를 표적으로 삼았으며, 일부 기기에 대한 무단 액세스로 이어졌습니다. 처음에는 연방 민간 행정부 기관(FCEB)에 취약점을 패치하거나 완화하라는 지침이 내려졌지만, 바라쿠다는 두 가지 보안 패치를 신속하게 배포하여 지침이 불필요하게 만들었습니다.
이 결함은 2023년 5월 19일에 공식적으로 확인되었으며, 바라쿠다는 5월 20일에 모든 ESG 어플라이언스에 보안 패치를 적용하고 다음 날 공격자의 액세스를 차단하는 등 신속하게 대응했습니다. 그러나 분석 결과 이 익스플로잇은 다음과 같이 밝혀졌습니다. 이미 2022년 10월부터 사용되었으며 패치가 배포되기 전 최소 7개월 동안 활발하게 악용된 것으로 밝혀졌습니다. 바라쿠다의 조사 결과, 위협 공격자들은 손상된 ESG 기기에 백도어를 설치하여 데이터를 탈취한 것으로 밝혀졌습니다.
이 익스플로잇으로 인해 이전에 알려지지 않은 여러 멀웨어 변종이 배포되었으며, 특히 손상된 ESG 애플리케이션에 사용되도록 설계되었습니다.
Saltwater는 공격자에게 감염된 기기에 대한 백도어 액세스를 제공하는 악성 바라쿠다 SMTP 데몬(bsmtpd) 모듈입니다. 이 캠페인 기간 동안 배포된 또 다른 변종입니다, SeaSpy는 포트 25(SMTP) 트래픽을 모니터링하는 데 도움이 됩니다. 위협 행위자들은 또한 다음과 같은 이름의 bsmtpd 악성 모듈을 사용했습니다. SeaSide 라는 이름의 악성 모듈을 사용하여 멀웨어의 명령 및 제어(C2) 서버를 통해 전송된 SMTP HELO/EHLO 명령을 통해 리버스 셸을 설정했습니다.
바라쿠다의 신속한 대응과 후속 패치 배포에도 불구하고 이 사건은 소프트웨어 취약성과 관련된 내재적 위험을 강조합니다. 취약점이 발견된 후 패치가 배포되기까지 경과하는 시간은 악의적인 공격자에게는 기회의 창입니다. 취약점이 아직 공개적으로 알려지지 않은 이 기간 동안 잠재적인 익스플로잇이 사이버 보안 레이더망에 포착되지 않을 수 있습니다.
사용된 멀웨어 툴의 특수성, ESG의 일반 소프트웨어와의 긴밀한 결합, 이러한 툴이 악의적인 동작을 추가하면서 ESG의 운영 무결성을 유지한 방법은 이러한 툴을 개발, 테스트 및 배포하는 데 얼마나 오랜 시간이 걸렸는지를 명확하게 보여줍니다. 위협 행위자가 취약점을 공개적으로 인정하기 전에 얼마나 오래 미리 취약점에 대해 작업해야 했는지.
이러한 공격의 위험을 완화하기 위해 CISA는 연방 기관과 민간 기업 모두에게 KEV 목록에 있는 버그를 우선적으로 패치할 것을 권고합니다. 또한 고객은 ESG 어플라이언스가 최신 상태인지 확인하고, 침해된 어플라이언스 사용을 중단하고 새로운 가상 또는 하드웨어 어플라이언스를 요청하고, 해킹된 어플라이언스에 연결된 모든 자격 증명을 교체하고, 네트워크 로그에서 침해 지표(IoC)와 알 수 없는 IP의 연결을 확인하는 것이 좋습니다.
바라쿠다 제로데이 익스플로잇은 소프트웨어 취약점 관리의 복잡성과 지속적인 과제를 잘 보여줍니다. 이러한 취약점은 단순히 CVE 추적기에 게시되는 순간 존재하지 않습니다. 보안 연구원, 소프트웨어 개발팀, 보안 메일링 리스트, 기타 여러 경로를 통해 분석되고 논의되며 '공개적으로' 공개되기 전에 퍼져나갈 가능성이 높습니다. 이로 인해 보안 소프트웨어가 아직 위협을 방어하거나 탐지하지 못할 수도 있지만 악의적인 공격자가 이미 익스플로잇 코드를 작업 중이거나 심지어 사용하고 있을 수도 있는 중요한 취약성 창이 생깁니다.
