기술 지원
문서
로그인
문의하기
TuxCare 블로그
사이버 보안 및 인프라 보안 기관 (CISA) 은 "야생에서" 활발하게 악용되는 소프트웨어 취약점으로 인한 위협에 대한 이해를 높이기 위해 정기적으로 업데이트되는 알려진 익스플로잇 취약점(KEV) 목록을 관리하고 있습니다.
최근 Barracuda ESG(이메일 보안 게이트웨이) 어플라이언스에서 발견된 제로데이 취약점(CVE-2023-2868)에 대한 경고를 발표했으며, 이 취약점은 현재 KEV에 추가되었습니다.
이 특정 소프트웨어 솔루션은 삼성, 미쓰비시, 크래프트 하인즈, 델타항공과 같은 대기업을 포함하여 전 세계 200,000개 이상의 조직에서 사용하고 있습니다. 문제의 제로데이 익스플로잇은 바라쿠다의 ESG 어플라이언스를 표적으로 삼아 일부 기기에 대한 무단 액세스를 유도했습니다. 처음에는 연방 민간 행정부 기관(FCEB)에 취약점을 패치하거나 완화하라는 지침이 내려졌지만, 바라쿠다는 신속하게 두 가지 보안 패치를 배포하여 지침을 불필요하게 만들었습니다.
이 결함은 2023년 5월 19일에 공식적으로 확인되었으며, 바라쿠다는 5월 20일에 모든 ESG 어플라이언스에 보안 패치를 적용하고 다음 날 공격자의 액세스를 차단하는 등 즉각적으로 대응했습니다. 그러나 분석 결과, 이 익스플로잇은 다음과 같이 밝혀졌습니다. 2022년 10월 초에 사용되었으며 패치가 배포되기 최소 7개월 전부터 활발하게 악용된 것으로 밝혀졌습니다. 바라쿠다의 조사 결과, 위협 공격자들은 손상된 ESG 어플라이언스에 백도어를 설치하여 데이터를 훔친 것으로 밝혀졌습니다.
이 익스플로잇으로 인해 이전에 알려지지 않은 여러 멀웨어 변종이 배포되었으며, 특히 손상된 ESG 애플리케이션에 사용하도록 설계되었습니다.
Saltwater는 공격자에게 감염된 기기에 대한 백도어 액세스를 제공하는 악성 바라쿠다 SMTP 데몬(bsmtpd) 모듈입니다. 이 캠페인 기간 동안 배포된 또 다른 변종입니다, SeaSpy는 포트 25(SMTP) 트래픽을 모니터링하는 데 도움이 됩니다. 위협 행위자들은 또한 bsmtpd 악성 모듈인 SeaSide 라는 이름의 bsmtpd 악성 모듈을 사용하여 멀웨어의 명령 및 제어(C2) 서버를 통해 전송되는 SMTP HELO/EHLO 명령을 통해 리버스 셸을 설정합니다.
바라쿠다의 신속한 대응과 이후 배포된 패치에도 불구하고 이 사건은 소프트웨어 취약성과 관련된 내재적 위험을 강조합니다. 취약점이 발견된 후 패치가 배포되기까지 경과하는 시간은 악의적인 공격자에게는 기회의 창입니다. 취약점이 아직 공개적으로 알려지지 않았을 수 있는 이 기간 동안 잠재적인 익스플로잇이 사이버 보안의 레이더망을 피할 수 있습니다.
사용된 멀웨어 툴의 특수성, ESG의 일반 소프트웨어와의 긴밀한 결합, 이러한 툴이 악의적인 동작을 추가하면서 ESG의 운영 무결성을 유지하는 방법은 이러한 툴을 개발, 테스트 및 배포하는 데 걸린 시간을 명확하게 보여주는 징후이며, 다음과 같은 사실을 명확하게 보여줍니다. 위협 행위자가 취약점을 공개적으로 인지하기까지 얼마나 오랜 시간 동안 취약점에 대한 작업을 진행해야 했는지.
이러한 공격의 위험을 완화하기 위해 CISA는 연방 기관과 민간 기업 모두에게 KEV 목록에 있는 버그를 우선적으로 패치할 것을 권고합니다. 또한 고객들은 ESG 어플라이언스가 최신 상태인지 확인하고, 침해된 어플라이언스 사용을 중단하고 새로운 가상 또는 하드웨어 어플라이언스를 요청하고, 해킹된 어플라이언스에 연결된 모든 자격 증명을 교체하고, 네트워크 로그에서 IoC(침해 지표)와 알 수 없는 IP의 연결을 확인하는 것이 좋습니다.
바라쿠다 제로데이 익스플로잇은 소프트웨어 취약점 관리의 복잡성과 지속적인 과제를 강조합니다. 이러한 취약점은 단순히 CVE 추적기에 게시되는 순간 존재하게 되는 것이 아닙니다. 보안 연구자, 소프트웨어 개발팀, 보안 메일링 리스트 및 기타 매체를 통해 분석되고 논의된 후 '공개적으로' 공개되기 전에 퍼져나갈 수 있습니다. 이로 인해 보안 소프트웨어가 아직 위협을 방어하거나 탐지하지 못할 수도 있지만 악의적인 공격자가 이미 익스플로잇 코드를 작업하거나 사용하고 있을 수 있는 중요한 취약성 창이 열리게 됩니다.
