.gif)
윈도우 서버 업데이트 서비스에 취약점...이미 해커들이 악용 중
[보안뉴스 김형근 기자] 마이크로소프트(MS) 환경에서 윈도우 서버 업데이트 서비스(WSUS)는 모든 PC에 보안 패치를 공급하는 역할을 한다.
이 WSUS에 취약점 두 가지가 발견돼 기업 네트워크 보안에 위협이 되고 있다. 레거시 인프라에서 간과되기 쉬운 WSUS 설정이 랜섬웨어 그룹의 주요 표적이 되고 있다는 경고다.
CVSS 9.8점 취약점, POC 등장 후 공격 급증
[자료: 마이크로소프트]
해커들이 현재 활발하게 악용하고 있는 취약점은 ‘CVE-2025-5928’로, 패치되지 않은 WSUS 서버에서 원격 코드 실행(RCE)을 가능하게 한다. 공격자가 엔터프라이즈 네트워크에 대한 통제권을 얻을 수 있다는 의미다.
MS는 이 문제를 CVSS 3.1 점수 9.8점으로 평가하며, 심각도가 최고 수준인 ‘치명적’(Critical) 등급을 부여했다. 인증 없이도 악용이 쉽다는 점에서 위험성이 매우 높다.
이 취약점은 WSUS의 업데이트 승인 과정에 있는 역직렬화(deserialization) 결함에서 비롯됐다. MS가 15일에 패치 가이드를 공개하자마자 지하 포럼에 이를 악용한 개념 증명(PoC) 공격이 등장했다.
사이버 보안 기업 섀도우피크(ShadowPeak)에 따르면, PoC 등장 이후 이를 악용한 공격이 급격히 늘었다.
현재 온라인에 노출된 WSUS 인스턴스가 최소 2800개에 달한다고 섀도우피크는 밝혔다. 이들 대부분은 북미와 유럽 기업등리다.
내부망 침투 및 랜섬웨어 경로로 악용
공격자들은 PoC를 활용해 이 취약점을 내부망 횡적 이동 기술(lateral movement)과 결합하고 있다.
WSUS 서버를 장악하면 해커들은 악성 업데이트를 배포하거나, 민감한 데이터를 빼돌리고, 지속적인 백도어를 설치할 수 있다.
실제로 23일 한 중견 미국 금융 회사가 이 취약점을 이용한 공격을 받아 내부 액티브 디렉토리(Active Directory)가 침해당했고, 일시적 서비스 중단을 겪었다.
MS는 사용자에 즉각적 패치를 요청했다. 그러나 쌔도우피크 조사에 따르면 패치 적용률은 스캔 된 인스턴스의 40%에 불과하다.
즉각 패치와 접근 제한이 필수
위협에 대응하기 위해 MS는 최신 누적 업데이트 적용을 권장하고 있다.
또 방화벽을 이용해 WSUS 포트(8530/8531)에 대한 외부 접근을 제한해야 한다. 특히 하이브리드 클라우드 환경에서 HTTP/HTTPS 포트를 인터넷에 노출하는 서버는 위험이 크다.
[김형근 기자(editor@boannews.com)]
[보안뉴스 김형근 기자] 마이크로소프트(MS) 환경에서 윈도우 서버 업데이트 서비스(WSUS)는 모든 PC에 보안 패치를 공급하는 역할을 한다.
이 WSUS에 취약점 두 가지가 발견돼 기업 네트워크 보안에 위협이 되고 있다. 레거시 인프라에서 간과되기 쉬운 WSUS 설정이 랜섬웨어 그룹의 주요 표적이 되고 있다는 경고다.
CVSS 9.8점 취약점, POC 등장 후 공격 급증
[자료: 마이크로소프트]
해커들이 현재 활발하게 악용하고 있는 취약점은 ‘CVE-2025-5928’로, 패치되지 않은 WSUS 서버에서 원격 코드 실행(RCE)을 가능하게 한다. 공격자가 엔터프라이즈 네트워크에 대한 통제권을 얻을 수 있다는 의미다.
MS는 이 문제를 CVSS 3.1 점수 9.8점으로 평가하며, 심각도가 최고 수준인 ‘치명적’(Critical) 등급을 부여했다. 인증 없이도 악용이 쉽다는 점에서 위험성이 매우 높다.
이 취약점은 WSUS의 업데이트 승인 과정에 있는 역직렬화(deserialization) 결함에서 비롯됐다. MS가 15일에 패치 가이드를 공개하자마자 지하 포럼에 이를 악용한 개념 증명(PoC) 공격이 등장했다.
사이버 보안 기업 섀도우피크(ShadowPeak)에 따르면, PoC 등장 이후 이를 악용한 공격이 급격히 늘었다.
현재 온라인에 노출된 WSUS 인스턴스가 최소 2800개에 달한다고 섀도우피크는 밝혔다. 이들 대부분은 북미와 유럽 기업등리다.
내부망 침투 및 랜섬웨어 경로로 악용
공격자들은 PoC를 활용해 이 취약점을 내부망 횡적 이동 기술(lateral movement)과 결합하고 있다.
WSUS 서버를 장악하면 해커들은 악성 업데이트를 배포하거나, 민감한 데이터를 빼돌리고, 지속적인 백도어를 설치할 수 있다.
실제로 23일 한 중견 미국 금융 회사가 이 취약점을 이용한 공격을 받아 내부 액티브 디렉토리(Active Directory)가 침해당했고, 일시적 서비스 중단을 겪었다.
MS는 사용자에 즉각적 패치를 요청했다. 그러나 쌔도우피크 조사에 따르면 패치 적용률은 스캔 된 인스턴스의 40%에 불과하다.
즉각 패치와 접근 제한이 필수
위협에 대응하기 위해 MS는 최신 누적 업데이트 적용을 권장하고 있다.
또 방화벽을 이용해 WSUS 포트(8530/8531)에 대한 외부 접근을 제한해야 한다. 특히 하이브리드 클라우드 환경에서 HTTP/HTTPS 포트를 인터넷에 노출하는 서버는 위험이 크다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=spacer}
.jpg)
.png){kind=spacer}
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
