MS가 로그4j의 위협에 대해 ‘이제 모든 사람들의 가까이에 있다’고 경고했다. 이미 공격자들은 적극적으로 이를 익스플로잇 하기 위한 준비를 마친 상태고, 연구도 계속해서 이어가고 있다.

[보안뉴스 문가용 기자] 마이크로소프트는 이번 주 공격자들이 로그4j(Log4j)에서 발견된 원격 코드 실행 취약점들을 적극적으로 노리고 있다는 내용의 경고를 발표했다. 취약점을 노리는 스캔과 익스플로잇 시도가 12월 막바지로 치달을수록 거세지고 있다는 것이다.


[이미지 = utoimage]

MS에 따르면 기존의 유명 공격 단체들은 자신들이 사용하는 공격 키트들에 로그4j 익스플로잇들을 추가하고 있다고 한다. 그리고 이를 통해 리버스 셸을 만들고, 원격 접근 툴킷을 심으며, 핸즈온키보드 공격을 실행하고 있단다. 현재까지 MS가 발견한 백도어 혹은 리버스 셸들은 블라다빈디(Bladabindi), 해빗츠랫(HabitsRAT), 미터프리터(Meterpreter), 코발트 스트라이크(Cobalt Strike), 파워셸(PowerShell)이다.

MS는 경고문을 통해 “로그4j 취약점이 현재 매우 가까이에 있는 실질적 위협임을 인지해야 한다”고 강조했다. 또한 “이미 침해가 되었는데도 모르고 있을 수 있다”고 말했다. 로그4j는 오픈소스 소프트웨어 라이브러리로, 자바 앱이 사용되는 거의 모든 환경에서 발견된다. 따라서 공격자들로서 적극 이용할 수밖에 없고, MS의 이번 발표는 실제 그렇게 되어가고 있다는 걸 증언하고 있다. 로그4j는 세상 어디에도 있다고 봐야 하며, 따라서 세상 모든 IT 요소들이 위험하다고까지 말하는 보안 전문가들도 있다.

MS가 특히 주의해야 할 것으로 꼽은 취약점은 로그4셸(Log4Shell)로 통칭되는 취약점들로 다음과 같다. 익스플로잇 난이도가 쉬운 것으로 분석되고 있다.
1) CVE-2021-44228
2) CVE-2021-45046
3) CVE-2021-45105

MS가 발견한 ‘로그4j 적극 공격자들’로는 다음과 같은 공격 들이 있다.
1) 하프늄(Hafnium) : 중국의 APT
2) 포스포러스(Phosphorus) : 이란의 랜섬웨어 단체
3) 아쿠아틱판다(Aquatic Panda) : 중국의 공격 단체
아쿠아틱판다의 경우 유명 대학과 학술 기관들을 공격했다고 보안 업체 크라우드스트라이크(CrowdStrike)가 밝혔다.

MS가 현재까지 탐지한 공격 트래픽 중 대다수는 ‘스캐닝’을 위한 것이었다. 취약한 로그4j가 어디에 어느 정도 있는지 공격자들과 분석가들이 활발히 정찰하고 있는 것으로 보인다. 이런 공격자들 중 대부분은 미라이(Mirai)와 같은 봇넷의 운영자들이었는데, 주로 취약한 로그4j 시스템에 암호화폐 채굴 코드를 심으려는 것으로 현재까지는 분석되고 있다. 그 외 리눅스 시스템들을 노려 쓰나미(Tsunami)라는 백도어를 심으려는 시도들도 발견됐다.

여러 기관들이 로그4j 취약점들을 재빨리 발견해서 업데이트를 적용하는 것을 돕는 스캔 도구들이나 스크립트들을 발표 및 권장하고 있다. 하지만 이런 도구들만으로 모든 로그4j 취약점을 발견할 수는 없다. 자바가 패킹되는 방식 때문에 아주 ‘깊숙하게 묻혀 있는 것들’이 있어서다. 따라서 어느 정도의 수작업이 반드시 이뤄져야 한다. 그래서 로그4j의 문제가 앞으로 수년 동안 지속될 것으로 전문가들은 예상하고 있다.

보안 업체 레질리온(Rezilion)은 최근 여러 오픈소스 및 상업용 스캔 도구들을 실험해 취약한 로그4j를 얼마나 잘 찾아낼 수 있는지를 시험했다. 꽤나 많은 도구들을 실험했고, 그 결과가 도구마다 상이했지만, 로그4j를 빠짐없이 찾아낼 수 있는 도구는 단 하나도 없었다고 한다.

3줄 요약
1. MS가 경고하기를, “로그4j 노리는 공격자들 엄청나게 많다.”
2. 공격 도구에 취약점 익스플로잇 넣는 공격자들이 늘어나고,
3. 취약점 스캔해서 찾는 트래픽도 늘어나고.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>