이글루코퍼레이션 분석...관리자 계정 생성, 악성 플러그인 업로드, RCE 공격 등 위험
CVE-2023-42793, 백도어 설치나 민감정보 탈취 가능...히든 코브라와 안다리엘이 악용도
CVE-2024-27198, 팀시티 온프레미스 환경 모든 버전 발생...공급망 공격 확산 가능성
[보안뉴스 김영명 기자] 인증 우회 취약점은 공격자가 보안 메커니즘을 우회하고 시스템의 인증 절차를 회피해 권한을 획득할 수 있는 경로를 제공하는 취약점이다. 이 취약점은 API(Application Programming Interface) 오용, 인증 및 접근제어 결함, 입력 값 검증 미흡, 보안 설정 미흡 등의 결함 때문에 발생한다. 공격자는 이를 악용해 초기 액세스 권한을 얻고 민감 정보를 탈취할 수 있다.
[이미지=gettyimagesbank]
API 오용은 애플리케이션에서 제공되는 기능이나 외부 인터페이스를 부적절하게 사용하는 경우 발생한다. 제트브레인이 개발한 CI/CD(Continuous Integration/Continuous Delivery·Deployment, 지속적 통합 및 지속적 배포) 서버 솔루션인 팀시티(TeamCity)는 지난해부터 최근까지 인증 우회 취약점이 지속적으로 발견되고 있다. 공격자는 이를 악용해 관리자권한 획득과 원격코드실행(RCE)으로 시스템 제어 공격을 했다. 이글루코퍼레이션은 2023년 발견된 팀시티 취약점(CVE-2023-42793)과 이번에 찾은 취약점(CVE-2024-27198)을 비교 분석했다.
▲올해 5월 2일 기준 CVE-2024-27198 발견 현황[자료=shadowserver]
CVE-2023-42793 관련 공격사례
2023년에 발견된 CVE-2023-42793 취약점은 초기 액세스 권한을 얻어 백도어를 설치하거나 민감 정보를 탈취할 수 있다. 해당 취약점은 히든 코브라(Hidden Cobra)와 안다리엘(Andariel)에서 악용되기도 했다. 북한 APT 공격그룹 히든 코브라는 지난해 10월 초 CVE-2023-42793 취약점으로 팀시티 서버에 접근, 파워쉘을 통해 특정 페이로드를 받았다. 그 이후 라자루스발 데스노트 캠페인(DeathNote campaign)의 포레스트타이거(ForestTiger) 백도어를 사용, LSASS 프로세스의 메모리 자격증명을 덤프해 데이터를 유출했다.
안다리엘은 CVE-2023-42793을 이용해 서버에 접근한 후 커버로스(Kerberos) 티켓 부여 윈도 계정 이름인 KRBTGT을 이용해 krtbgt라는 사용자 계정을 생성하고 명령어를 입력해 시스템 정보를 확인했다. 이후 파워쉘을 통해 temp.exe와 inetmgr.exe 악성코드를 내려받고, 메모리에 로드되며 HazyLoad 악성코드로 명명된다. 다음으로 공격자는 원격 데스크톱 프로토콜(RDP)을 통해 타 시스템에 접근하거나 다른 공격자의 추가 공격을 막기 위해 팀시티 서비스를 중단하고, 추가정보 확인을 위해 LSASS 메모리를 통한 자격증명 덤프, 브라우저 내 저장된 자격증명 정보 및 데이터 검색도구 배포 등으로 공격했다.
▲CVE-2024-27198 PoC 구성도[자료=이글루코퍼레이션]
CVE-2024-27198 취약점 분석해 보니
팀시티 환경에서 발생하는 인증 우회 취약점은 계정 생성 및 팀시티 프로젝트, 빌드, 에이전트, 아티팩트 등의 구성요소 제어가 가능해 공급망 공격으로 이어질 수 있다. 이는 팀시티 온프레미스 환경의 모든 버전에서 발현되고 RCE 공격이 가능해 고위험 취약점에 속한다.
2023년의 CVE-2023-42793 이후 2024년에 발견된 CVE-2024-27198은 해킹그룹에서 악용된 사례는 확인되지 않았으나, 자스민(Jasmin) 랜섬웨어 변종, XMRig, SparkRAT 백도어 등에서 악용한 사례가 확인됨에 따라 향후 다수의 해킹그룹에서 악용할 가능성이 존재한다.
CVE-2024-27198은 CVSS 3.0 기준 9.8에 해당하며, 취약점 악용 가능성을 예측 지표인 EPSS 수치로 확인하면 큰 것을 알 수 있다. 이 취약점은 코드 결함으로 발생하며 특정 요청 전송 후 특정 메서드를 호출해 모든 인증 우회를 가능하게 한다. 이 취약점의 개념증명을 시행했을 때 화면에서 임의의 값으로 지정한 관리자 계정이 생성되고 웹셸이 포함된 악성 플러그인이 업로드돼 RCE 공격까지 가능한 것을 확인할 수 있었다.
CVE-2024-27198의 PoC 구성도에 따라 관리자 계정 생성, 악성 플러그인 제작, 악성 플러그인 업로드, RCE 발현 과정을 살펴본다. 먼저, 인증 우회 취약점 발현 여부 확인을 위해 인증이 필요한 임의의 경로에 접근을 시도한다. 로그인하지 않은채 서버 버전 정보가 노출되는 페이지로 접근을 요청하면, 응답코드 302(Found)를 반환하고 로그인 페이지로 리다이렉트된다.
▲/app/rest/server 직접 접근 시도[자료=이글루코퍼레이션]
PoC 코드를 확인해보면 GetTeamCityVersion() 함수에서 요청 URL에 존재하지 않는 임의의 경로(/hax)를 사용해 /app/rest/server로 접근을 시도하고 있다. 요청 라인의 URL을 PoC 코드와 같이 존재하지 않는 경로(/hax)로 변경하게 되면 /app/rest/server 페이지에 접근이 가능해 서버의 버전 정보가 노출된다.
공격자는 인증 우회 취약점을 악용해 시스템 접근을 위한 2차 공격을 수행할 위험이 있다. PoC 코드에서는 2차 공격으로 관리자 계정 생성, 토큰 생성 및 부여, 악성 플러그인 업로드 및 RCE 공격을 수행하고 있다.
첫 번째 단계는 ‘관리자 계정 생성’이다. 인증 우회 취약점 발현 시 디버깅 과정에서 확인한 것처럼 존재하지 않는 경로로 접근했을 때 인증이 우회된다는 점을 악용해 REST API 엔드포인트를 대상으로 공격자의 제어가 가능한 관리자 계정을 생성하게 된다. 계정 생성 후 GetToken() 함수로 사용자의 토큰을 생성하고 권한이 존재하는 페이지에 요청 시 사용된다.
▲관리자 계정 생성 및 로그인 확인[자료=이글루코퍼레이션]
계정 생성 후 GetToken() 함수로 사용자의 토큰을 생성하고 권한이 존재하는 페이지에 요청할 때 사용된다. 이는 관리자 계정 생성 함수 AddUser()로 생성된 관리자 계정에 대한 토큰 값을 만들어 권한이 필요한 페이지에 접근할 때 이를 활용해 2차 공격을 하기 위해서다.
두 번째는 ‘악성 플러그인 제작’이다. 공격자는 관리자 페이지에 접근이 가능한 점을 악용해 서버를 제어하기 위해 파일이나 플러그인을 업로드하는 시도를 진행할 수 있다. GetEvilPluginZipFile() 함수는 Faker 라이브러리를 사용해 가짜 정보를 생성하기 위한 객체를 초기화하고 cmd 파라미터를 갖는 jsp 웹 쉘 코드를 생성해 임의의 .jar 파일을 제작한다.
▲웹 쉘이 포함된 jar 파일 생성 PoC 코드[자료=이글루코퍼레이션]
세 번째 단계는 ‘악성 플러그인 업로드’다. 관리자만 접근 가능한 플러그인 업로드 페이지에 관리자 계정의 토큰 값을 이용, 접근해 웹 쉘이 포함된 악성 플러그인 업로드가 가능해진다. 네 번째는 ‘원격코드 실행(RCE) 발현’으로 공격자는 관리자 계정의 토큰으로 플러그인 업로드 후 플러그인의 경로에 접근해 원격코드 실행(RCE)이 가능하게 된다.
▲MS 윈도에서의 보안 패치 플러그인 적용[자료=이글루코퍼레이션]
팀시티에서 발생한 인증 우회 취약점은 온프레미스(On-Premises) 설치 모든 버전에서 발현되기 때문에 가장 최신 버전인 2023.11.4 버전으로 업데이트하는 것이 필요하다. 또한, 제트브레인즈는 취약점만 패치가 가능한 보안 패치 플러그인도 지원하고 있다.
악성 플러그인이 업로드됐을 때 이를 비활성화도 할 수 있다. 악성 플러그인이 업로드될 경우 disabled-plugins.xml 파일에서 태그를 이용해 비활성화가 가능하기 때문에 OS별 특정 경로에서 적용할 수 있다. 로그 파일에서 정규표현식을 통해 특정 문자열 패턴을 매칭, 해당 패턴이 포함된 로그 메시지를 식별해 특정 유형의 활동을 탐지하며, CVE-2024-27198과 CVE-2023-42793의 보안 업데이트가 어려우면 탐지정책으로 공격 여부를 식별할 수도 있다.
이글루코퍼레이션 관계자는 “인증 우회 취약점은 공격자가 초기 액세스를 위해 보안 메커니즘을 우회, 시스템에 접근할 수 있는 경로를 제공한다”며 “접근 권한을 획득하게 되면 토큰을 생성해 웹 쉘을 업로드하거나 원격코드 실행 등 2차 공격으로 이어질 수 있다”고 말했다. 이어 “보다 강력한 인증 및 접근제어 메커니즘을 도입하고 입력 값 검증과 인증 프로세스 강화, 패치 업데이트 등으로 보안성을 강화해야 한다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]
CVE-2023-42793, 백도어 설치나 민감정보 탈취 가능...히든 코브라와 안다리엘이 악용도
CVE-2024-27198, 팀시티 온프레미스 환경 모든 버전 발생...공급망 공격 확산 가능성
[보안뉴스 김영명 기자] 인증 우회 취약점은 공격자가 보안 메커니즘을 우회하고 시스템의 인증 절차를 회피해 권한을 획득할 수 있는 경로를 제공하는 취약점이다. 이 취약점은 API(Application Programming Interface) 오용, 인증 및 접근제어 결함, 입력 값 검증 미흡, 보안 설정 미흡 등의 결함 때문에 발생한다. 공격자는 이를 악용해 초기 액세스 권한을 얻고 민감 정보를 탈취할 수 있다.
[이미지=gettyimagesbank]
API 오용은 애플리케이션에서 제공되는 기능이나 외부 인터페이스를 부적절하게 사용하는 경우 발생한다. 제트브레인이 개발한 CI/CD(Continuous Integration/Continuous Delivery·Deployment, 지속적 통합 및 지속적 배포) 서버 솔루션인 팀시티(TeamCity)는 지난해부터 최근까지 인증 우회 취약점이 지속적으로 발견되고 있다. 공격자는 이를 악용해 관리자권한 획득과 원격코드실행(RCE)으로 시스템 제어 공격을 했다. 이글루코퍼레이션은 2023년 발견된 팀시티 취약점(CVE-2023-42793)과 이번에 찾은 취약점(CVE-2024-27198)을 비교 분석했다.
▲올해 5월 2일 기준 CVE-2024-27198 발견 현황[자료=shadowserver]
CVE-2023-42793 관련 공격사례
2023년에 발견된 CVE-2023-42793 취약점은 초기 액세스 권한을 얻어 백도어를 설치하거나 민감 정보를 탈취할 수 있다. 해당 취약점은 히든 코브라(Hidden Cobra)와 안다리엘(Andariel)에서 악용되기도 했다. 북한 APT 공격그룹 히든 코브라는 지난해 10월 초 CVE-2023-42793 취약점으로 팀시티 서버에 접근, 파워쉘을 통해 특정 페이로드를 받았다. 그 이후 라자루스발 데스노트 캠페인(DeathNote campaign)의 포레스트타이거(ForestTiger) 백도어를 사용, LSASS 프로세스의 메모리 자격증명을 덤프해 데이터를 유출했다.
안다리엘은 CVE-2023-42793을 이용해 서버에 접근한 후 커버로스(Kerberos) 티켓 부여 윈도 계정 이름인 KRBTGT을 이용해 krtbgt라는 사용자 계정을 생성하고 명령어를 입력해 시스템 정보를 확인했다. 이후 파워쉘을 통해 temp.exe와 inetmgr.exe 악성코드를 내려받고, 메모리에 로드되며 HazyLoad 악성코드로 명명된다. 다음으로 공격자는 원격 데스크톱 프로토콜(RDP)을 통해 타 시스템에 접근하거나 다른 공격자의 추가 공격을 막기 위해 팀시티 서비스를 중단하고, 추가정보 확인을 위해 LSASS 메모리를 통한 자격증명 덤프, 브라우저 내 저장된 자격증명 정보 및 데이터 검색도구 배포 등으로 공격했다.
▲CVE-2024-27198 PoC 구성도[자료=이글루코퍼레이션]
CVE-2024-27198 취약점 분석해 보니
팀시티 환경에서 발생하는 인증 우회 취약점은 계정 생성 및 팀시티 프로젝트, 빌드, 에이전트, 아티팩트 등의 구성요소 제어가 가능해 공급망 공격으로 이어질 수 있다. 이는 팀시티 온프레미스 환경의 모든 버전에서 발현되고 RCE 공격이 가능해 고위험 취약점에 속한다.
2023년의 CVE-2023-42793 이후 2024년에 발견된 CVE-2024-27198은 해킹그룹에서 악용된 사례는 확인되지 않았으나, 자스민(Jasmin) 랜섬웨어 변종, XMRig, SparkRAT 백도어 등에서 악용한 사례가 확인됨에 따라 향후 다수의 해킹그룹에서 악용할 가능성이 존재한다.
CVE-2024-27198은 CVSS 3.0 기준 9.8에 해당하며, 취약점 악용 가능성을 예측 지표인 EPSS 수치로 확인하면 큰 것을 알 수 있다. 이 취약점은 코드 결함으로 발생하며 특정 요청 전송 후 특정 메서드를 호출해 모든 인증 우회를 가능하게 한다. 이 취약점의 개념증명을 시행했을 때 화면에서 임의의 값으로 지정한 관리자 계정이 생성되고 웹셸이 포함된 악성 플러그인이 업로드돼 RCE 공격까지 가능한 것을 확인할 수 있었다.
CVE-2024-27198의 PoC 구성도에 따라 관리자 계정 생성, 악성 플러그인 제작, 악성 플러그인 업로드, RCE 발현 과정을 살펴본다. 먼저, 인증 우회 취약점 발현 여부 확인을 위해 인증이 필요한 임의의 경로에 접근을 시도한다. 로그인하지 않은채 서버 버전 정보가 노출되는 페이지로 접근을 요청하면, 응답코드 302(Found)를 반환하고 로그인 페이지로 리다이렉트된다.
▲/app/rest/server 직접 접근 시도[자료=이글루코퍼레이션]
PoC 코드를 확인해보면 GetTeamCityVersion() 함수에서 요청 URL에 존재하지 않는 임의의 경로(/hax)를 사용해 /app/rest/server로 접근을 시도하고 있다. 요청 라인의 URL을 PoC 코드와 같이 존재하지 않는 경로(/hax)로 변경하게 되면 /app/rest/server 페이지에 접근이 가능해 서버의 버전 정보가 노출된다.
공격자는 인증 우회 취약점을 악용해 시스템 접근을 위한 2차 공격을 수행할 위험이 있다. PoC 코드에서는 2차 공격으로 관리자 계정 생성, 토큰 생성 및 부여, 악성 플러그인 업로드 및 RCE 공격을 수행하고 있다.
첫 번째 단계는 ‘관리자 계정 생성’이다. 인증 우회 취약점 발현 시 디버깅 과정에서 확인한 것처럼 존재하지 않는 경로로 접근했을 때 인증이 우회된다는 점을 악용해 REST API 엔드포인트를 대상으로 공격자의 제어가 가능한 관리자 계정을 생성하게 된다. 계정 생성 후 GetToken() 함수로 사용자의 토큰을 생성하고 권한이 존재하는 페이지에 요청 시 사용된다.
▲관리자 계정 생성 및 로그인 확인[자료=이글루코퍼레이션]
계정 생성 후 GetToken() 함수로 사용자의 토큰을 생성하고 권한이 존재하는 페이지에 요청할 때 사용된다. 이는 관리자 계정 생성 함수 AddUser()로 생성된 관리자 계정에 대한 토큰 값을 만들어 권한이 필요한 페이지에 접근할 때 이를 활용해 2차 공격을 하기 위해서다.
두 번째는 ‘악성 플러그인 제작’이다. 공격자는 관리자 페이지에 접근이 가능한 점을 악용해 서버를 제어하기 위해 파일이나 플러그인을 업로드하는 시도를 진행할 수 있다. GetEvilPluginZipFile() 함수는 Faker 라이브러리를 사용해 가짜 정보를 생성하기 위한 객체를 초기화하고 cmd 파라미터를 갖는 jsp 웹 쉘 코드를 생성해 임의의 .jar 파일을 제작한다.
▲웹 쉘이 포함된 jar 파일 생성 PoC 코드[자료=이글루코퍼레이션]
세 번째 단계는 ‘악성 플러그인 업로드’다. 관리자만 접근 가능한 플러그인 업로드 페이지에 관리자 계정의 토큰 값을 이용, 접근해 웹 쉘이 포함된 악성 플러그인 업로드가 가능해진다. 네 번째는 ‘원격코드 실행(RCE) 발현’으로 공격자는 관리자 계정의 토큰으로 플러그인 업로드 후 플러그인의 경로에 접근해 원격코드 실행(RCE)이 가능하게 된다.
▲MS 윈도에서의 보안 패치 플러그인 적용[자료=이글루코퍼레이션]
팀시티에서 발생한 인증 우회 취약점은 온프레미스(On-Premises) 설치 모든 버전에서 발현되기 때문에 가장 최신 버전인 2023.11.4 버전으로 업데이트하는 것이 필요하다. 또한, 제트브레인즈는 취약점만 패치가 가능한 보안 패치 플러그인도 지원하고 있다.
악성 플러그인이 업로드됐을 때 이를 비활성화도 할 수 있다. 악성 플러그인이 업로드될 경우 disabled-plugins.xml 파일에서 태그를 이용해 비활성화가 가능하기 때문에 OS별 특정 경로에서 적용할 수 있다. 로그 파일에서 정규표현식을 통해 특정 문자열 패턴을 매칭, 해당 패턴이 포함된 로그 메시지를 식별해 특정 유형의 활동을 탐지하며, CVE-2024-27198과 CVE-2023-42793의 보안 업데이트가 어려우면 탐지정책으로 공격 여부를 식별할 수도 있다.
이글루코퍼레이션 관계자는 “인증 우회 취약점은 공격자가 초기 액세스를 위해 보안 메커니즘을 우회, 시스템에 접근할 수 있는 경로를 제공한다”며 “접근 권한을 획득하게 되면 토큰을 생성해 웹 쉘을 업로드하거나 원격코드 실행 등 2차 공격으로 이어질 수 있다”고 말했다. 이어 “보다 강력한 인증 및 접근제어 메커니즘을 도입하고 입력 값 검증과 인증 프로세스 강화, 패치 업데이트 등으로 보안성을 강화해야 한다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
