벨벳 앤트, 시스코 제로데이 취약점 악용
최근 사이버 보안 환경에서 발생한 사건으로 인해 중국과 연계된 사이버 스파이 그룹인 벨벳 앤트(Velvet Ant)의 활동이 밝혀졌습니다. 이 위협 행위자 그룹은 Cisco NX-OS 소프트웨어의 제로데이 결함을 악용하는 것이 관찰되었습니다. 이 글에서는 이 취약점과 그 익스플로잇에 대해 자세히 알아보겠습니다. 시작하겠습니다!
시스코 제로데이 결함 발견하기
최근 언론 보도에 따르면 Cisco NX-OS 취약점은 CVE-2024-20399로 추적되고 있습니다. 현재 이 취약점의 중요 취약점 심각도 점수(CVSS)는 6.0입니다. 그러나 이 취약점을 통해 중국과 연계된 사이버 스파이 조직인 벨벳 앤트와 같은 위협 행위자가 임의의 코드를 실행할 수 있습니다.
이 취약점을 악용하면 손상된 디바이스의 기본 운영 체제에서 코드가 실행될 수 있습니다. 사이버 보안 업체 시그니아는 이 취약점에 대해 다음과 같이 설명했습니다:
"이 취약점을 악용하여 벨벳 앤트는 이전에 알려지지 않은 맞춤형 멀웨어를 성공적으로 실행하여 위협 그룹이 손상된 Cisco Nexus 디바이스에 원격으로 연결하고 추가 파일을 업로드하고 디바이스에서 코드를 실행할 수 있게 했습니다."
CVE-2024-20399의 심각도
CVE-2024-20399를 성공적으로 익스플로잇할 경우 해커가 코드 실행 기능을 가질 수 있다는 점에서 상당히 우려스러운 위협입니다. 하지만 이 제로데이 결함은 아직 심각도 점수가 낮습니다.
이러한 점수의 근거는 제로데이 결함을 성공적으로 악용하려면 위협 행위자가 관리자 자격 증명과 특정 구성 명령에 액세스할 수 있어야 하기 때문입니다. 현재 제로데이 결함의 영향을 받는 디바이스는 다음과 같습니다:
- MDS 9000 시리즈 멀티레이어 스위치.
- Nexus 3000 시리즈 스위치.
- Nexus 5500 플랫폼 스위치.
- Nexus 5600 플랫폼 스위치.
- Nexus 6000 시리즈 스위치.
- Nexus 7000 시리즈 스위치.
- 독립형 NX-OS 모드의 Nexus 9000 시리즈 스위치.
사이버 보안 제로데이 결함 발견
Syngia에서 공개한 보고서에 따르면, 제로데이 취약점에 대한 악용 시도는 작년에 진행된 조사에서 처음 발견되었습니다. 시스코는 2024년 4월에 이 취약점을 알게 되었다고 밝혔습니다.
벨벳 앤트의 위협 행위자 활동은 지난달 이스라엘의 한 사이버 보안 회사에 의해 처음 문서화되었습니다. 이 활동은 동아시아의 한 조직을 표적으로 삼은 사이버 공격과 관련된 것이었습니다.
이 공격이 진행되는 동안 위협 행위자들은 고객 및 금융 정보를 획득하기 위해 오래된 F5 및 BIG-IP 어플라이언스를 사용하여 지속성을 개발했습니다. 사이버 보안 업체는 다음과 같은 추가 인사이트를 제공했습니다:
"네트워크 어플라이언스, 특히 스위치는 모니터링되지 않는 경우가 많고 로그가 중앙 집중식 로깅 시스템으로 전달되지 않는 경우가 많습니다. 이러한 모니터링 부족은 악의적인 활동을 식별하고 조사하는 데 상당한 어려움을 초래합니다."
시스코는 제로데이 취약점 익스플로잇에 대해 특정 구성에 대한 CLI 명령을 통해 전달되는 인수의 유효성 검사가 불충분하기 때문에 문제가 발생한다고 밝혔습니다.
결론
벨벳 앤트가 Cisco 스위치의 제로데이 결함을 악용한 것은 사이버 스파이 그룹의 지속적인 위협을 강조합니다. 이 사건은 사전 예방적 보안 프로토콜과 네트워크 어플라이언스에 대한 지속적인 모니터링의 필요성을 강조합니다.
또한 유사한 취약점을 예방하기 위해 적시에 패치를 관리하고 정기적인 보안 감사를 실시하는 것이 중요하다는 점을 강조합니다. 새로운 위협에 대한 정보를 파악하고 최신 방어 체계를 유지하는 것은 디지털 생태계를 보호하는 데 있어 매우 중요한 단계입니다.