월요일에 10점 만점짜리 취약점이 나왔나 싶더니 바로 다음 날부터 실제 공격이 시작됐다는 경고가 나오기 시작했다. 그러더니 이제는 피해가 급속도로 불어날 수 있다는 경고까지 나오는 중이다.
[보안뉴스 문정후 기자] 커넥트와이즈 스크린커넥트(ConnectWise ScreenConnect) 원격 데스크톱 관리 도구를 사용하고 있다면 현재 진행되고 있는 사이버 공격에 유의해야 한다. 커넥트와이즈 플랫폼에서 최고 수위의 취약점이 발견되고, 개념 증명용 코드까지 공개된 이후 활발한 공격이 시작됐기 때문이다. 이 사안은 파장이 꽤나 커질 수 있다고 보안 전문가들이 경고에 나섰다.
[이미지 = gettyimagesbank]
스크린커넥트는 시스템에 접근할 수 있게 해 주는 솔루션으로, 이를 이용하면 원래의 사용자처럼 시스템에 승인해 접근할 수 있게 된다. 그래서 기술 지원이 필요한 상황에서 널리 사용된다. 하지만 그렇기 때문에 위협 행위자들이 특정 기업의 망이나 시스템으로 잠입하려 할 때 통로가 되기도 한다.
스크린커넥트에서 발견된 초고위험도 취약점
이번 주 월요일 커넥트와이즈는 보안 경고문을 통해 인증 우회 취약점을 공개했다. CVSS 기준으로 10점 만점에 10점을 받았을 정도로 심각한 취약점이라고 했다. 공격자들은 이 취약점을 통해 피해자의 시스템에 접근할 수 있을 뿐만 아니라 두 번째 취약점까지 발동시킬 수 있게 된다. 두 번째 취약점도 같은 날 공개된 것으로, 경로 조작을 가능하게 하는 것으로 분석됐다. 8.4점의 위험도를 가진 것으로 평가됐다.
보안 업체 호라이즌3(Horizon3.ai)의 익스플로잇 개발자 제임스 호스만(James Horseman)은 “이번에 공개된 취약점을 통해 공격자들은 스스로 관리자 계정을 스크린커넥트 서버에 생성할 수 있게 되며, 이 계정을 가지고 서버에 대한 완전한 통제 권한을 가져갈 수 있게 된다”고 설명한다. “최근 공격자들은 최초 침투 이후 애플리케이션을 재시작하거나 최초 사용자 계정을 다시 생성하는 식으로 공격을 이어가려는 경향을 보이는데, 이번 취약점이 거기에 딱 부합합니다.”
이번 주 화요일 커넥트와이즈 측은 월요일에 발표했던 보안 권고문을 업데이트했다. 해당 취약점들에 대한 실질적인 공격이 활발히 실시되고 있다는 내용이었다. 아직 취약점에 CVE 번호가 부여되지 않은 상태였다. 그러면서 방어에 도움이 될 수 있도록 방대한 분량의 침해지수도 같이 공개했다. 월요일에는 최고 등급 취약점에 대한 경고문이 나왔다면 바로 다음 날 실제 공격이 시작됐다는 경고문이 나온 것이다.
비영리 보안 조직인 셰도우서버재단(Shadowserver Foundation)의 CEO인 피오트르 키예브스키(Piotr Kijewski) 역시 “허니팟들을 통해 해당 취약점에 대한 공격 시도가 있음을 파악할 수 있었다”고 밝혀 커넥트와이즈의 경고를 진지하게 받아들여야 하는 이유를 하나 보탰다. “새로운 사용자 계정이 생성되었다든가 하는 식의 신호들이 있나 확인하고 패치하십시오. 현재 93%의 스크린커넥트 인스턴스들이 취약한 상태로 인터넷에 연결되어 있습니다.”
어떤 버전으로 패치해야 할까? 스크린커넥트 23.9.7보다 높은 버전으로 올려야 한다. 자가 호스팅이나 온프레미스 환경에 스크린커넥트가 구축되어 있는 경우가 특히 위험하니 빠른 업데이트가 필수다. 다만 screenconnect.com이나 hostedrmm.com 도메인에 호스팅된 스크린커넥트 서버들을 운영하는 클라우드 사용자들의 경우에는 이번 사건과 무관하다.
이 사태, 점점 불어날지도
보안 업체 액션원(Action1)의 회장 마이크 월터스(Mike Walters)는 “현 시점 기준으로 스크린커넥트의 취약점을 익스플로잇 하려는 시도가 대단히 활발한 건 아니”라고 말한다. “그러나 그건 사건이 터진 지 얼마 되지 않아서이고, 앞으로는 폭발적으로 증가할 가능성이 훨씬 높습니다. 수천 개의 인스턴스들이 침해될 것이라고 보고, 거기서부터 공급망 공격이 시작되어 보안 대행 서비스 업체들에 영향이 가고, 거기서부터 고객사들로까지 피해가 갈 수 있습니다. 한 번 불 붙기 시작하면 겉잡을 수 없이 번질 거라는 뜻입니다.”
왜 이렇게까지 극단적으로 보는 걸까? “이번에 발견된 취약점은 2021년 카세야(Kaseya)의 취약점과 여러 모로 비슷합니다. 스크린커넥트도 원격 관리 및 원격 모니터링이라는 기능을 수행하는 솔루션으로서 기업들 사이에서 인기가 매우 높습니다. 특히 MSP와 MSSP 업체들이 많이 사용하지요. 그리고 그 MSP와 MSSP들은 수많은 고객사들과 밀접하게 연결되어 있고요. 어디서 한 번 구멍이 잘못 뚫리면 겉잡을 수 없는 사태가 일어날 가능성이 있다고 보는 이유입니다.”
그렇다면 스크린커넥트 사용자들은 어떻게 스스로를 보호해야 할까? “23.9.8 버전으로 즉각 업그레이드 하는 게 최선의 방법입니다. 그런 후에 공개된 침해지표들을 활용해 이미 익스플로잇이 있었는지 확인하는 작업을 수행해야 합니다. 뭔가 수상한 게 발견되면 추적해서 깨끗하게 청소하는 것까지 마무리해야 합니다.” 월터스의 조언이다.
3줄 요약
1. MSP와 MSSP 업체들이 즐겨 사용하는 솔루션에서 초고위험도 취약점 등장.
2. 심지어 익스플로잇 방법까지 등장하면서 실제 공격 시작됨.
3. 아직 CVE 번호는 없으나, 스크린커넥트 23.9.8 버전으로 업그레이드부터 하는 게 안전.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 커넥트와이즈 스크린커넥트(ConnectWise ScreenConnect) 원격 데스크톱 관리 도구를 사용하고 있다면 현재 진행되고 있는 사이버 공격에 유의해야 한다. 커넥트와이즈 플랫폼에서 최고 수위의 취약점이 발견되고, 개념 증명용 코드까지 공개된 이후 활발한 공격이 시작됐기 때문이다. 이 사안은 파장이 꽤나 커질 수 있다고 보안 전문가들이 경고에 나섰다.
[이미지 = gettyimagesbank]
스크린커넥트는 시스템에 접근할 수 있게 해 주는 솔루션으로, 이를 이용하면 원래의 사용자처럼 시스템에 승인해 접근할 수 있게 된다. 그래서 기술 지원이 필요한 상황에서 널리 사용된다. 하지만 그렇기 때문에 위협 행위자들이 특정 기업의 망이나 시스템으로 잠입하려 할 때 통로가 되기도 한다.
스크린커넥트에서 발견된 초고위험도 취약점
이번 주 월요일 커넥트와이즈는 보안 경고문을 통해 인증 우회 취약점을 공개했다. CVSS 기준으로 10점 만점에 10점을 받았을 정도로 심각한 취약점이라고 했다. 공격자들은 이 취약점을 통해 피해자의 시스템에 접근할 수 있을 뿐만 아니라 두 번째 취약점까지 발동시킬 수 있게 된다. 두 번째 취약점도 같은 날 공개된 것으로, 경로 조작을 가능하게 하는 것으로 분석됐다. 8.4점의 위험도를 가진 것으로 평가됐다.
보안 업체 호라이즌3(Horizon3.ai)의 익스플로잇 개발자 제임스 호스만(James Horseman)은 “이번에 공개된 취약점을 통해 공격자들은 스스로 관리자 계정을 스크린커넥트 서버에 생성할 수 있게 되며, 이 계정을 가지고 서버에 대한 완전한 통제 권한을 가져갈 수 있게 된다”고 설명한다. “최근 공격자들은 최초 침투 이후 애플리케이션을 재시작하거나 최초 사용자 계정을 다시 생성하는 식으로 공격을 이어가려는 경향을 보이는데, 이번 취약점이 거기에 딱 부합합니다.”
이번 주 화요일 커넥트와이즈 측은 월요일에 발표했던 보안 권고문을 업데이트했다. 해당 취약점들에 대한 실질적인 공격이 활발히 실시되고 있다는 내용이었다. 아직 취약점에 CVE 번호가 부여되지 않은 상태였다. 그러면서 방어에 도움이 될 수 있도록 방대한 분량의 침해지수도 같이 공개했다. 월요일에는 최고 등급 취약점에 대한 경고문이 나왔다면 바로 다음 날 실제 공격이 시작됐다는 경고문이 나온 것이다.
비영리 보안 조직인 셰도우서버재단(Shadowserver Foundation)의 CEO인 피오트르 키예브스키(Piotr Kijewski) 역시 “허니팟들을 통해 해당 취약점에 대한 공격 시도가 있음을 파악할 수 있었다”고 밝혀 커넥트와이즈의 경고를 진지하게 받아들여야 하는 이유를 하나 보탰다. “새로운 사용자 계정이 생성되었다든가 하는 식의 신호들이 있나 확인하고 패치하십시오. 현재 93%의 스크린커넥트 인스턴스들이 취약한 상태로 인터넷에 연결되어 있습니다.”
어떤 버전으로 패치해야 할까? 스크린커넥트 23.9.7보다 높은 버전으로 올려야 한다. 자가 호스팅이나 온프레미스 환경에 스크린커넥트가 구축되어 있는 경우가 특히 위험하니 빠른 업데이트가 필수다. 다만 screenconnect.com이나 hostedrmm.com 도메인에 호스팅된 스크린커넥트 서버들을 운영하는 클라우드 사용자들의 경우에는 이번 사건과 무관하다.
이 사태, 점점 불어날지도
보안 업체 액션원(Action1)의 회장 마이크 월터스(Mike Walters)는 “현 시점 기준으로 스크린커넥트의 취약점을 익스플로잇 하려는 시도가 대단히 활발한 건 아니”라고 말한다. “그러나 그건 사건이 터진 지 얼마 되지 않아서이고, 앞으로는 폭발적으로 증가할 가능성이 훨씬 높습니다. 수천 개의 인스턴스들이 침해될 것이라고 보고, 거기서부터 공급망 공격이 시작되어 보안 대행 서비스 업체들에 영향이 가고, 거기서부터 고객사들로까지 피해가 갈 수 있습니다. 한 번 불 붙기 시작하면 겉잡을 수 없이 번질 거라는 뜻입니다.”
왜 이렇게까지 극단적으로 보는 걸까? “이번에 발견된 취약점은 2021년 카세야(Kaseya)의 취약점과 여러 모로 비슷합니다. 스크린커넥트도 원격 관리 및 원격 모니터링이라는 기능을 수행하는 솔루션으로서 기업들 사이에서 인기가 매우 높습니다. 특히 MSP와 MSSP 업체들이 많이 사용하지요. 그리고 그 MSP와 MSSP들은 수많은 고객사들과 밀접하게 연결되어 있고요. 어디서 한 번 구멍이 잘못 뚫리면 겉잡을 수 없는 사태가 일어날 가능성이 있다고 보는 이유입니다.”
그렇다면 스크린커넥트 사용자들은 어떻게 스스로를 보호해야 할까? “23.9.8 버전으로 즉각 업그레이드 하는 게 최선의 방법입니다. 그런 후에 공개된 침해지표들을 활용해 이미 익스플로잇이 있었는지 확인하는 작업을 수행해야 합니다. 뭔가 수상한 게 발견되면 추적해서 깨끗하게 청소하는 것까지 마무리해야 합니다.” 월터스의 조언이다.
3줄 요약
1. MSP와 MSSP 업체들이 즐겨 사용하는 솔루션에서 초고위험도 취약점 등장.
2. 심지어 익스플로잇 방법까지 등장하면서 실제 공격 시작됨.
3. 아직 CVE 번호는 없으나, 스크린커넥트 23.9.8 버전으로 업그레이드부터 하는 게 안전.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
