기술 지원
문서
로그인
문의하기
제로데이 익스플로잇의 공격을 받는 MOVEit 전송
오반라 오페예미
2023년 6월 16일 TuxCare 전문가 팀
Rapid7의 보안 연구원들이 기업에서 안전한 파일 전송을 위해 널리 사용되는 Progress Software의 MOVEit Transfer 제품의 제로데이 취약점을 악용하는 위협 행위자를 발견했습니다. 사이버 범죄자들은 SQL 인젝션 취약점(CVE-2023-34362)을 활용하여 제품의 데이터베이스에 무단으로 액세스하고 있습니다.
이 취약점을 통해 인증되지 않은 공격자가 MOVEit Transfer의 데이터베이스에 침투하여 잠재적으로 중요한 데이터베이스 요소를 수정하거나 삭제하는 SQL 문을 실행할 수 있습니다. 이 취약점은 프로그레스 소프트웨어에 의해 확인되었으며, 프로그레스 소프트웨어는 "인증되지 않은 공격자가 무브잇 트랜스퍼의 데이터베이스에 무단으로 액세스할 수 있는 SQL 인젝션 취약점이 무브잇 트랜스퍼 웹 애플리케이션에서 발견되었다"는 내용의 권고문을 발표했습니다.
모든 버전의 MOVEit Transfer에 영향을 미치지만, MOVEit 자동화, MOVEit 클라이언트, Microsoft Outlook용 MOVEit 애드인, MOVEit 모바일, WS_FTP 클라이언트, WS_FTP 서버, MOVEit EZ, MOVEit 게이트웨이, MOVEit 애널리틱스 및 MOVEit 프리웨어는 영향을 받지 않습니다.
Rapid7 연구원들은 감염된 시스템의 wwwroot 폴더에서 "human2.aspx"라는 웹셸이 존재한다는 것을 발견했으며, 이는 자동화된 익스플로잇을 시사한다고 말했습니다. 이 웹셸은 MOVEit Transfer의 웹 인터페이스에서 사용되는 합법적인 파일 사이에서 눈에 띄지 않도록 설계되었으며 암호로 보호됩니다. 웹셸에 무단으로 액세스하려고 시도하면 404 찾을 수 없음 오류가 발생하며, 이는 악성 활동을 숨기려는 잠재적 시도를 나타냅니다.
Rapid7에 따르면 5월 31일까지 인터넷에서 공개적으로 액세스 가능한 무브잇 트랜스퍼의 인스턴스는 2,500개 이상이며, 그 중 상당수가 미국에 집중되어 있다고 합니다. 한편, 프로그레스 소프트웨어는 고객에게 공격과 관련된 침해 지표(IoC)를 제공하고 의심스러운 활동이 발견되면 즉시 보안 및 IT 팀에 연락할 것을 촉구하고 있습니다.
이 글의 출처는 SecurityAffairs의 기사입니다.
