자카르타 멀티파트 파서 내에 존재하는 오류... 웹 서버 장악
웹 애플리케이션 방화벽으로 임시 대응 가능...패치 필수
[보안뉴스 문가용 기자] 해외의 보안 전문가들이 아파치 스트럿츠2(Apache Struts2)를 2.3.32나 2.5.10.1로 시급히 업그레이드 해야 한다고 경고했다. 최근 시스코 탈로스(Cisco Talos) 팀이 아파치 스트럿츠2에서 버그를 발견해 발표했기 때문이다. 게다가 현재 이 버그를 익스플로잇하는 방법이 해커들 사이에 알려져 있고, 범죄자들이 활발히 활용하고 있다고 한다.
탈로스의 보안 전문가들에 따르면 아파치 스트럿츠2라는 오픈소스 프레임워크에서 발견된 취약점은 원격에서 익스플로잇이 가능하며, 버그의 정확한 위치는 자카르타 멀티파트(Jakarta Multipart) 파서라고 한다. 공격자들은 이 버그를 통해 특정 HTTP 요청에 악성 명령을 주입할 수 있게 된다. 이렇게 주입된 명령은 웹 서버가 실행한다.
현재 많은 해커들이 이미 이 공격을 시도 혹은 실행하고 있다고 여러 업체의 보안 전문가들이 증언하고 있다. 보다 정확히 말하면 이런 공격이 통할만한 웹 서버를 찾는 시도가 여기저기서 발견되고 있다는 것이다. 시스코 탈로스에 의하면 이런 식의 ‘간 보기’ 공격의 최종 목적은 도스 봇, IRC 바운서 등의 멀웨어를 배포하기 위함이라고 한다.
기업들 중 아파치 스트럿츠를 사용하는 곳이 많다. SANS의 수장인 요하네스 울리히(Johannes Ullrich)는 “아파치 스트럿츠를 사용하면 자바 애플리케이션 개발이 용이해지기 때문”이라고 설명한다. “물론 스트럿츠의 모든 버전이 지금 취약한 건 아닙니다. 하지만 대다수가 위험한 건 사실이죠. 그러니 스트럿츠의 사용 현황을 점검해볼 필요가 있습니다.”
울리히는 이 취약점이 대단히 치명적으로 작용할 수 있다고 경고하기도 한다. “공격자들은 웹 서버를 통해 접근이 가능한 코드나 설정 파일을 읽을 수 있게 됩니다. 그렇다면 웹 애플리케이션과 연결된 데이터베이스에도 도달할 수 있다는 뜻이 되고요. 기업의 깊숙한 곳까지 침투가 가능해진다는 것입니다.”
울리히는 “가장 흔한 공격 순서는 1) 스트럿츠 취약점을 악용해 백도어를 설치하고 2) 이 백도어를 통해 웹 서버를 운영하는 사용자와 똑같은 명령 프롬프트에 접근하는 것”이라고 설명한다. “거기까지 이르렀다면 3) 임의의 명령을 실행하거나 4) 권한 상승 공격을 해 5) 루트 권한 및 관리자 권한을 취득할 수 있습니다.”
보안 전문업체인 라피드7(Rapid7)의 보안 전문가이자 위협 분석가인 톰 셀러스(Tom Sellers)는 오류의 정확한 근거지인 자카르타 멀티파트 파서에 대해 “다양한 웹 요청을 처리하는 툴”이라며 “다수의 파일을 업로드 한다든지, 여러 유형의 데이터를 한 번에 처리해야 하는 식의 태스크를 처리한다”고 설명한다.
“즉, 공격자가 이를 악용한다는 건 파일을 생성하고, 수정하고, 삭제하면서 환경설정도 조작할 수 있다는 뜻이 됩니다. 또한 웹 서버 소프트웨어로 접근이 가능한 모든 시스템 명령도 실행할 수 있다는 것이고요.” 셀러스는 “그래서 공격자들이 웹 서버가 취약한지 아닌지 건드려볼 때 간단한 명령어를 여러 개 사용한다”고 말한다. “ifconfig나 whoami 등이 가장 많이 사용되는 듯 합니다.”
이 문제를 해결하기 위해 패치를 하는 게 가장 좋지만, 그게 여의치 않은 조직이 있을 수 있다. 그런 경우 웹 애플리케이션 방화벽을 활용하는 게 가장 효과적인 ‘임시방편’이라고 트립와이어(Tripwire)의 크레이그 영(Craig Young)은 설명한다. “웹 애플리케이션 방화벽은 들어오는 요청을 처리하기 전에 모니터링하는 기능을 가지고 있죠. 그러니 HTTP 헤더에 이상한 값이 포함되어 있으면 파악할 수 있습니다.”
크레이그는 “한 번 발견된 취약점이 실제 공격에 활용되기까지 걸리는 시간은 점점 더 짧아지고 있다”며 “근본적인 보안 조치를 취하는 것이 굉장히 중요한 건 변함없는 사실이지만, 언제고 임시방편이라도 취할 수 있게끔 ‘구급약’을 마련해놓는 것도 중요하다”고 강조한다. “현재 조직 내에서 사용되고 있는 소프트웨어 중 패치가 되지 않은 건 뭐가 있는지도 평소부터 파악, 주시해야 하고, 기본적으로 가동할 수 있는 보안 통제 장치들도 마련되어 있어야 한다는 뜻입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- 가상현실, 심폐소생술, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련
웹 애플리케이션 방화벽으로 임시 대응 가능...패치 필수
[보안뉴스 문가용 기자] 해외의 보안 전문가들이 아파치 스트럿츠2(Apache Struts2)를 2.3.32나 2.5.10.1로 시급히 업그레이드 해야 한다고 경고했다. 최근 시스코 탈로스(Cisco Talos) 팀이 아파치 스트럿츠2에서 버그를 발견해 발표했기 때문이다. 게다가 현재 이 버그를 익스플로잇하는 방법이 해커들 사이에 알려져 있고, 범죄자들이 활발히 활용하고 있다고 한다.
탈로스의 보안 전문가들에 따르면 아파치 스트럿츠2라는 오픈소스 프레임워크에서 발견된 취약점은 원격에서 익스플로잇이 가능하며, 버그의 정확한 위치는 자카르타 멀티파트(Jakarta Multipart) 파서라고 한다. 공격자들은 이 버그를 통해 특정 HTTP 요청에 악성 명령을 주입할 수 있게 된다. 이렇게 주입된 명령은 웹 서버가 실행한다.
현재 많은 해커들이 이미 이 공격을 시도 혹은 실행하고 있다고 여러 업체의 보안 전문가들이 증언하고 있다. 보다 정확히 말하면 이런 공격이 통할만한 웹 서버를 찾는 시도가 여기저기서 발견되고 있다는 것이다. 시스코 탈로스에 의하면 이런 식의 ‘간 보기’ 공격의 최종 목적은 도스 봇, IRC 바운서 등의 멀웨어를 배포하기 위함이라고 한다.
기업들 중 아파치 스트럿츠를 사용하는 곳이 많다. SANS의 수장인 요하네스 울리히(Johannes Ullrich)는 “아파치 스트럿츠를 사용하면 자바 애플리케이션 개발이 용이해지기 때문”이라고 설명한다. “물론 스트럿츠의 모든 버전이 지금 취약한 건 아닙니다. 하지만 대다수가 위험한 건 사실이죠. 그러니 스트럿츠의 사용 현황을 점검해볼 필요가 있습니다.”
울리히는 이 취약점이 대단히 치명적으로 작용할 수 있다고 경고하기도 한다. “공격자들은 웹 서버를 통해 접근이 가능한 코드나 설정 파일을 읽을 수 있게 됩니다. 그렇다면 웹 애플리케이션과 연결된 데이터베이스에도 도달할 수 있다는 뜻이 되고요. 기업의 깊숙한 곳까지 침투가 가능해진다는 것입니다.”
울리히는 “가장 흔한 공격 순서는 1) 스트럿츠 취약점을 악용해 백도어를 설치하고 2) 이 백도어를 통해 웹 서버를 운영하는 사용자와 똑같은 명령 프롬프트에 접근하는 것”이라고 설명한다. “거기까지 이르렀다면 3) 임의의 명령을 실행하거나 4) 권한 상승 공격을 해 5) 루트 권한 및 관리자 권한을 취득할 수 있습니다.”
보안 전문업체인 라피드7(Rapid7)의 보안 전문가이자 위협 분석가인 톰 셀러스(Tom Sellers)는 오류의 정확한 근거지인 자카르타 멀티파트 파서에 대해 “다양한 웹 요청을 처리하는 툴”이라며 “다수의 파일을 업로드 한다든지, 여러 유형의 데이터를 한 번에 처리해야 하는 식의 태스크를 처리한다”고 설명한다.
“즉, 공격자가 이를 악용한다는 건 파일을 생성하고, 수정하고, 삭제하면서 환경설정도 조작할 수 있다는 뜻이 됩니다. 또한 웹 서버 소프트웨어로 접근이 가능한 모든 시스템 명령도 실행할 수 있다는 것이고요.” 셀러스는 “그래서 공격자들이 웹 서버가 취약한지 아닌지 건드려볼 때 간단한 명령어를 여러 개 사용한다”고 말한다. “ifconfig나 whoami 등이 가장 많이 사용되는 듯 합니다.”
이 문제를 해결하기 위해 패치를 하는 게 가장 좋지만, 그게 여의치 않은 조직이 있을 수 있다. 그런 경우 웹 애플리케이션 방화벽을 활용하는 게 가장 효과적인 ‘임시방편’이라고 트립와이어(Tripwire)의 크레이그 영(Craig Young)은 설명한다. “웹 애플리케이션 방화벽은 들어오는 요청을 처리하기 전에 모니터링하는 기능을 가지고 있죠. 그러니 HTTP 헤더에 이상한 값이 포함되어 있으면 파악할 수 있습니다.”
크레이그는 “한 번 발견된 취약점이 실제 공격에 활용되기까지 걸리는 시간은 점점 더 짧아지고 있다”며 “근본적인 보안 조치를 취하는 것이 굉장히 중요한 건 변함없는 사실이지만, 언제고 임시방편이라도 취할 수 있게끔 ‘구급약’을 마련해놓는 것도 중요하다”고 강조한다. “현재 조직 내에서 사용되고 있는 소프트웨어 중 패치가 되지 않은 건 뭐가 있는지도 평소부터 파악, 주시해야 하고, 기본적으로 가동할 수 있는 보안 통제 장치들도 마련되어 있어야 한다는 뜻입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- 가상현실, 심폐소생술, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련
.png)
.png)
.jpg)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
