국가코드 kr로 검색시 한국 기관 및 기업 피해 941건으로 추정
VMware ESXi에서 SLP 서비스만 비활성화하는 방법은 임시방편...보안 패치 필수
익스플로잇웨어랩스 윤영 대표 “우리나라의 경우 감소 추세지만, 재확산 가능성 대비해야”
[보안뉴스 김영명 기자] 최근 VMware ESXi의 취약점을 악용해 랜섬웨어가 유포되는 사례가 전 세계 곳곳에서 확인되고 있다. 특히, 우리나라 국가코드인 kr로 검색할 경우 한국 기업 및 기관들의 감염사례도 현재 941건으로 추정돼 우리나라 피해도 적지 않은 상황으로 보인다.
VMware ESXi는 가상의 컴퓨터를 배치하고 서비스를 제공할 목적으로 VMware 사가 개발해 2001년에 출시한 엔터프라이즈 계열 타입 1 하이퍼바이저(hypervisor)다. 하이퍼바이저는 호스트 컴퓨터로 다수의 운영체제를 동시에 실행하기 위한 논리적 플랫폼으로서, 게스트 운영체제와 그 운영체제에서 구동되는 프로그램을 실제 물리적 장치에서 분리하는 프로세스를 가리킨다.
▲Criminal IP에서 확인된 한국 IP 대상 VMware ESXi 공격 피해현황, 24일 오후 3시 25분 기준으로 941건으로 파악되고 있다[이미지=Criminal IP]
VMware ESXi 취약점, 무엇이 문제인가
VMware ESXi의 취약점은 네트워킹 응용 프로그램의 표준 추적 프로토콜인 SLP(Service Location Protocol)와 관련한 OpenSLP에서 시작됐다. OpenSLP는 IETF(Internet Engineering Task Force) 표준 추적 프로토콜인 SLP(Service Location Protocol)의 오픈소스를 구현한 것을 의미한다. OpenSLP는 네트워킹 애플리케이션이 엔터프라이즈 네트워크에서 네트워크 서비스의 존재, 위치 및 구성을 검색할 수 있도록 하는 프레임워크를 제공하고 있다.
VMware ESXi에서 사용되는 OpenSLP에서 힙 오버플로(hip-overflow) 취약점이 발견된 것이다. 해당 취약점은 취약점 평가지수인 CVSS의 현재 버전인 CVSSv3.1(점수 범위 1~10)에서 기본 점수 8.8로 매우 심각한 범위에 포함된다.
힙 오버플로는 힙 데이터 영역에서 발생하는 버퍼 오버플로의 한 종류이며, 스택 기반 오버플로와는 다른 방식으로 익스플로잇(explot, 취약점 공격)이 가능하다. 특히, TCP/UDP 포트 427에 액세스할 수 있는 ESXi와 동일한 네트워크 세그먼트 내에 상주하는 악의적인 이용자는 OpenSLP에서 힙 오버플로 문제를 유발해 원격 코드 실행을 유도할 수 있다.
VMware ESXi 취약점, 어떻게 대응해야 하나
▲VMware ESXi 로고[로고=VMware]
ESXi 취약점을 악용한 사이버 공격 정보는 IP 주소 기반 사이버위협 인텔리전스 검색엔진인 크리미널 IP(Criminalk IP)에서도 실시간으로 확인할 수 있다. 해당 사이트에서 프로그램명을 키워드로, 국가명을 필터링해 검색하면, 얼마나 많은 공격이 진행되고 있는지 확인할 수 있다. 이와 관련 <보안뉴스>에서 현재 시점에서 국가코드인 kr로 검색한 결과, 941건의 감염사례가 확인된다. 크리미널 IP에서는 피해 기업을 정확히 확인할 수는 없으며, 피해 기업이 사용하는 통신망만 확인할 수 있다.
VMware ESXi의 OpenSLP 취약점(CVE-2021-21974)을 차단하는 가장 빠르고 효과적인 방법은 VMware 홈페이지에서 제공하는 보안 업데이트를 하는 것이다. 현재 VMware 홈페이지에서는 이번 취약점에 대한 공식적인 해결방안으로 ‘ESXi70U1c-17325551’, ‘ESXi670-202102401-SG’, ‘ESXi650-202102101-SG’ 등 3개 버전으로 패치를 제공하고 있다.
다만, 패치를 바로 적용하기 힘들다면 VMware ESXi에서 SLP 서비스만 비활성화하는 방법이 있다. 이는 특정 명령어를 입력해서 OpenSLP 서비스를 제공하는 호스트의 427번 포트를 차단해 공격을 막는 방법이다. 하지만 SLP 서비스만 차단하는 방법은 임시방편이며, 가장 좋은 방법은 패치를 적용하는 것이다.
사이버위협 조사/분석 기업 익스플로잇웨어랩스(ExploitWareLabs)의 윤영 대표는 VMware ESXi 취약점 악용 공격과 관련해 “지난 주 해당 공격은 2월 초와 비교해 3배 이상 증가했다”며, “특히, 최근 전 세계 공격동향을 분석했을 때 상대적으로 프랑스에서의 피해가 급격히 증가하고 있는 것을 확인할 수 있다”고 말했다. 이어 “현재 우리나라의 경우 VMware ESXi 취약점을 악용하는 랜섬웨어 공격은 조금씩 줄고 있지만, 언제 다시 확산할지 모르기 때문에 VMware에서 제공하는 보안 업데이트 등 만반의 준비를 하는 것이 중요하다”고 강조했다.
[김영명 기자(boan@boannews.com)]
VMware ESXi에서 SLP 서비스만 비활성화하는 방법은 임시방편...보안 패치 필수
익스플로잇웨어랩스 윤영 대표 “우리나라의 경우 감소 추세지만, 재확산 가능성 대비해야”
[보안뉴스 김영명 기자] 최근 VMware ESXi의 취약점을 악용해 랜섬웨어가 유포되는 사례가 전 세계 곳곳에서 확인되고 있다. 특히, 우리나라 국가코드인 kr로 검색할 경우 한국 기업 및 기관들의 감염사례도 현재 941건으로 추정돼 우리나라 피해도 적지 않은 상황으로 보인다.
VMware ESXi는 가상의 컴퓨터를 배치하고 서비스를 제공할 목적으로 VMware 사가 개발해 2001년에 출시한 엔터프라이즈 계열 타입 1 하이퍼바이저(hypervisor)다. 하이퍼바이저는 호스트 컴퓨터로 다수의 운영체제를 동시에 실행하기 위한 논리적 플랫폼으로서, 게스트 운영체제와 그 운영체제에서 구동되는 프로그램을 실제 물리적 장치에서 분리하는 프로세스를 가리킨다.
▲Criminal IP에서 확인된 한국 IP 대상 VMware ESXi 공격 피해현황, 24일 오후 3시 25분 기준으로 941건으로 파악되고 있다[이미지=Criminal IP]
VMware ESXi 취약점, 무엇이 문제인가
VMware ESXi의 취약점은 네트워킹 응용 프로그램의 표준 추적 프로토콜인 SLP(Service Location Protocol)와 관련한 OpenSLP에서 시작됐다. OpenSLP는 IETF(Internet Engineering Task Force) 표준 추적 프로토콜인 SLP(Service Location Protocol)의 오픈소스를 구현한 것을 의미한다. OpenSLP는 네트워킹 애플리케이션이 엔터프라이즈 네트워크에서 네트워크 서비스의 존재, 위치 및 구성을 검색할 수 있도록 하는 프레임워크를 제공하고 있다.
VMware ESXi에서 사용되는 OpenSLP에서 힙 오버플로(hip-overflow) 취약점이 발견된 것이다. 해당 취약점은 취약점 평가지수인 CVSS의 현재 버전인 CVSSv3.1(점수 범위 1~10)에서 기본 점수 8.8로 매우 심각한 범위에 포함된다.
힙 오버플로는 힙 데이터 영역에서 발생하는 버퍼 오버플로의 한 종류이며, 스택 기반 오버플로와는 다른 방식으로 익스플로잇(explot, 취약점 공격)이 가능하다. 특히, TCP/UDP 포트 427에 액세스할 수 있는 ESXi와 동일한 네트워크 세그먼트 내에 상주하는 악의적인 이용자는 OpenSLP에서 힙 오버플로 문제를 유발해 원격 코드 실행을 유도할 수 있다.
VMware ESXi 취약점, 어떻게 대응해야 하나
▲VMware ESXi 로고[로고=VMware]
ESXi 취약점을 악용한 사이버 공격 정보는 IP 주소 기반 사이버위협 인텔리전스 검색엔진인 크리미널 IP(Criminalk IP)에서도 실시간으로 확인할 수 있다. 해당 사이트에서 프로그램명을 키워드로, 국가명을 필터링해 검색하면, 얼마나 많은 공격이 진행되고 있는지 확인할 수 있다. 이와 관련 <보안뉴스>에서 현재 시점에서 국가코드인 kr로 검색한 결과, 941건의 감염사례가 확인된다. 크리미널 IP에서는 피해 기업을 정확히 확인할 수는 없으며, 피해 기업이 사용하는 통신망만 확인할 수 있다.
VMware ESXi의 OpenSLP 취약점(CVE-2021-21974)을 차단하는 가장 빠르고 효과적인 방법은 VMware 홈페이지에서 제공하는 보안 업데이트를 하는 것이다. 현재 VMware 홈페이지에서는 이번 취약점에 대한 공식적인 해결방안으로 ‘ESXi70U1c-17325551’, ‘ESXi670-202102401-SG’, ‘ESXi650-202102101-SG’ 등 3개 버전으로 패치를 제공하고 있다.
다만, 패치를 바로 적용하기 힘들다면 VMware ESXi에서 SLP 서비스만 비활성화하는 방법이 있다. 이는 특정 명령어를 입력해서 OpenSLP 서비스를 제공하는 호스트의 427번 포트를 차단해 공격을 막는 방법이다. 하지만 SLP 서비스만 차단하는 방법은 임시방편이며, 가장 좋은 방법은 패치를 적용하는 것이다.
사이버위협 조사/분석 기업 익스플로잇웨어랩스(ExploitWareLabs)의 윤영 대표는 VMware ESXi 취약점 악용 공격과 관련해 “지난 주 해당 공격은 2월 초와 비교해 3배 이상 증가했다”며, “특히, 최근 전 세계 공격동향을 분석했을 때 상대적으로 프랑스에서의 피해가 급격히 증가하고 있는 것을 확인할 수 있다”고 말했다. 이어 “현재 우리나라의 경우 VMware ESXi 취약점을 악용하는 랜섬웨어 공격은 조금씩 줄고 있지만, 언제 다시 확산할지 모르기 때문에 VMware에서 제공하는 보안 업데이트 등 만반의 준비를 하는 것이 중요하다”고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=spacer}
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
