[보안뉴스 문가용 기자] 기업 환경에서 사용되는 클릭(Qlik) 서버들 중 작년에 패치된 취약점이 여전히 존재하는 경우들이 있는 것으로 파악됐다. 그리고 이를 캑터스(Cactus) 랜섬웨어 조직들이 알고 지난 11월부터 익스플로잇 해왔다고 한다. 제 때 패치하는 게 얼마나 중요한지 여러 번 강조해도 지나치지 않은 이유가 드러났다.
[이미지 = gettyimagesbank]
클릭센스(Qlik Sense) 데이터 분석 및 비즈니스 인텔리전스 플랫폼을 캑터스 랜섬웨어가 지속적으로 공략하고 있다는 경고가 처음 나온 건 5개월 전의 일이다. 그럼에도 아직 많은 조직들이 패치를 적용하지 않고 있다. 문제의 취약점은 CVE-2023-41266과 CVE-2023-41265로, 윈도 버전에 존재한다. 둘을 연쇄적으로 익스플로잇 하면 원격에서 임의의 코드를 실행하는 게 가능하다. 이 두 취약점은 8월에 패치됐는데, 그럼에도 공격 방법이 또 개발됐고, 이렇게 패치된 버전에서 나온 익스플로잇 기법에는 CVE-2023-48365라는 번호가 붙었다.
참고로 클릭은 데이터 시각화와 비즈니스 인텔리전스 분야에서 가장 시장 점유율이 높은 기업 중 하나다.
클릭 서버의 취약점, 지속적으로 익스플로잇 돼
8월에 패치가 되고서도 여전히 공략 방법이 존재한다는 사실이 알려진 후인 작년 10월 정도에 보안 업체 아크틱울프(Arctic Wolf)는 캑터스 랜섬웨어 조직이 위에 언급된 세 가지 익스플로잇 기법 모두를 악용하고 있다는 사실을 파악하여 세상에 알렸다. 그냥 ‘그런 공격이 존재한다’ 정도가 아니라 점점 더 많아지고, 또 빨라지고 있었다는 게 아크틱울프 측의 주장이었다.
그럼에도 대부분 사용자 기업들은 취약한 버전의 클릭센스 서버를 유지하고 있었다. 보안 업체 폭스아이티(Fox-IT)가 지난 4월 17일 인터넷을 스캔했을 때 5205개의 클릭센스 서버가 인터넷에 연결된 채 사용되고 있었다. 그 중 3143개의 서버들은 캑터스 랜섬웨어가 공략하는 취약점을 고스란히 가지고 있었다. 미국, 이탈리아, 브라질, 네덜란드, 독일 등에서 특히 많이 발견됐다. 폭스IT는 이러한 사실을 서버 주인들에게 모두 알렸다. 연락이 되지 않으면 해당 기업의 국가나 산업에서 운영하는 CERT에 메시지를 전달하기도 했다.
보안 조직들, 예비 피해자들에게 연락
취약한 서버를 다루는 비영리 단체 셰도서버재단(ShadowServer Foundation)도 취약해 보이는 기업들을 찾아 연락을 취하는 중이라고 한다. 셰도서버재단 측은 “취약점을 그대로 방치할 경우 캑터스에 당할 가능성이 매우 높아 보인다”고 보고 이러한 활동에 참여했다고 한다. “만약 저희나 다른 보안 조직으로부터 클릭서버 관련 경고 메일을 받았다면, 사실 이미 침해를 당했다고 보고 내부 네트워크를 꼼꼼하게 스캔하시기를 권합니다.”
폭스IT 측은 이미 침해된 것처럼 보이는 클릭센스 서버들을 122개 발견했다고 한다. 절반 가까이가 미국에 있었고 13개는 스페인, 11개는 이탈리아에 있었다. “적잖은 수가 이미 침해된 상태입니다. 공격자들이 이미 원격에서 코드를 실행했을 수도 있고, 아닐 수도 있습니다만 침해됐다는 전제 하에 후속 조치를 진행하는 것이 훨씬 안전에는 도움이 될 겁니다.”
폭스IT는 “취약점을 패치하는 건 미래의 공격을 막는 것이고, 이미 침해됐다는 전제 하에 내부 네트워크를 검사해 여러 흔적들을 찾아 처리하는 건 과거와 현재의 공격을 막는 것”이라며 “둘 다 하는 게 반드시 필요하다”고 강조했다.
3줄 요약
1. 인텔리전스 플랫폼인 클릭 서버에서 반년 전부터 취약점 나옴.
2. 그리고 그 취약점을 반년 동안 캑터스 랜섬웨어가 익스플로잇 함.
3. 그런데도 패치에 더디기만 한 사용자들.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>