작년에 발견되고 패치된 취약점, 사용자들의 업데이트 더디기만 해
공격자들은 랜섬웨어 퍼트리는 데 이 취약점을 지속적으로 악용...CISA까지 나서
[보안뉴스 문가용 기자] 미국 국토안보부 산하 사이버 보안 담당 기관인 CISA가 얼마 전 펄스 시큐어(Pulse Secure) VPN 제품에서 발견된 취약점에 대한 실제 익스플로잇이 여전히 이어지고 있는 상황이라고 경고했다.
[이미지 = iclickart]
문제의 취약점은 CVE-2019-11510과 CVE-2019-11539로, 펄스 시큐어의 고객사들이 많아 사용하는 VPN 제품군에서 발견됐다. 또한 실제 사이버 범죄자들이 이 취약점을 이용해 소디노키비(Sodinokibi) 혹은 레빌(REvil)이라고 알려진 랜섬웨어를 퍼트리고 있다는 사실도 최근 공개됐었다.
CVE-2019-11510은 임의 파일 읽기 취약점의 일종으로, 인증 과정을 거치지 않은 공격자가 익스플로잇 할 수 있으며, 성공했을 경우 비밀 키와 비밀번호를 탈취할 수 있게 된다. 공격자는 이 정보를 원격 명령 주입 취약점인 CVE-2019-11539와 함께 활용해 VPN 네트워크에 접근할 수 있게 된다.
펄스 시큐어 측은 이 문제를 파악하고 지난 4월에 이미 패치를 발표했었다. 취약점을 발견한 보안 전문가가 이를 공개하기 수개월 전의 일이다. 펄스 시큐어는 고객들이 패치를 적용하도록 만들기 위해 모든 노력을 다 기울였다는 입장이다. “이메일, 제품 내 경고, 각종 커뮤니티, 웹사이트, 파트너 포털, 고객 지원 웹 사이트 등 모든 채널을 활용했습니다.”
그럼에도 아직까지 패치가 되지 않은 VPN 엔드포인트들은 수천 대에 이르고 있으며, 악성 공격자들은 이를 적극 익스플로잇 하고 있다는 소식이다. 이에 CISA는 “펄스 시큐어 측에서 취약점에 대한 소프트웨어 패치를 작년 4월부터 배포하고 있음에도, CVE-2019-11510에 대한 익스플로잇이 활발하게 벌어지고 있다”며 경고를 추가했다.
지난 1월 10일, 보안 업체 배드 패키츠(Bad Packets)는 “아직 취약한 상태로 남아있는 펄스 시큐어 VPN 서버들이 3623개나 발견된다”고 알렸다. 1월 4일에 인터넷을 스캔했을 때는 3825개 서버들이 패치가 안 된 상태였다고 한다. “패치가 되고는 있습니다만, 그 속도가 너무 느립니다.”
CISA는 “펄스 시큐어 취약점의 특성과 공격 방법이 이미 공격자들 사이에서 널리 알려지고 있다”며 “앞으로 VPN 환경에 대한 공격이 이어질 것으로 예상된다”고 사용자들을 촉구하기도 했다. “따라서 각 VPN 서버 관리자들은 시급히 패치를 진행하셔야 할 겁니다.”
영국의 대형 환전 서비스 업체인 트래블엑스(Travelex)는 연초부터 랜섬웨어에 걸려 마비된 적이 있다. 소디노키비 랜섬웨어가 시스템에서 발견됐고, 펄스 시큐어의 VPN 제품 내 있던 취약점을 통해 랜섬웨어가 퍼진 것으로 분석됐다. VPN 취약점을 통해 랜섬웨어에 실제로 감염된 가장 대표적인 사건이 됐다.
배드 패키츠에 의하면 편의점 체인인 ‘세븐일레븐’에서도 취약한 VPN 서버가 사용되고 있는 것이 발견됐고, 이 점을 회사 측에 알렸으나 아직까지 아무런 답이 없다고 한다. 두 번째 대표적 사건이 될 수 있어 ‘세븐일레븐’ 측의 발 빠른 대처가 요구된다.
3줄 요약
1. 작년에 발견되고 올해 다시 한 번 경고됐던 VPN 제품의 취약점, 익스플로잇 되고 있음.
2. 특히 최근부터 이 취약점 통해 랜섬웨어가 퍼지고 있다는 게 문제.
3. 제조사가 고객에 아무리 알려도 듣지 않자, CISA가 직접 경고.
[국제부 문가용 기자(globoan@boannews.com)]
공격자들은 랜섬웨어 퍼트리는 데 이 취약점을 지속적으로 악용...CISA까지 나서
[보안뉴스 문가용 기자] 미국 국토안보부 산하 사이버 보안 담당 기관인 CISA가 얼마 전 펄스 시큐어(Pulse Secure) VPN 제품에서 발견된 취약점에 대한 실제 익스플로잇이 여전히 이어지고 있는 상황이라고 경고했다.
[이미지 = iclickart]
문제의 취약점은 CVE-2019-11510과 CVE-2019-11539로, 펄스 시큐어의 고객사들이 많아 사용하는 VPN 제품군에서 발견됐다. 또한 실제 사이버 범죄자들이 이 취약점을 이용해 소디노키비(Sodinokibi) 혹은 레빌(REvil)이라고 알려진 랜섬웨어를 퍼트리고 있다는 사실도 최근 공개됐었다.
CVE-2019-11510은 임의 파일 읽기 취약점의 일종으로, 인증 과정을 거치지 않은 공격자가 익스플로잇 할 수 있으며, 성공했을 경우 비밀 키와 비밀번호를 탈취할 수 있게 된다. 공격자는 이 정보를 원격 명령 주입 취약점인 CVE-2019-11539와 함께 활용해 VPN 네트워크에 접근할 수 있게 된다.
펄스 시큐어 측은 이 문제를 파악하고 지난 4월에 이미 패치를 발표했었다. 취약점을 발견한 보안 전문가가 이를 공개하기 수개월 전의 일이다. 펄스 시큐어는 고객들이 패치를 적용하도록 만들기 위해 모든 노력을 다 기울였다는 입장이다. “이메일, 제품 내 경고, 각종 커뮤니티, 웹사이트, 파트너 포털, 고객 지원 웹 사이트 등 모든 채널을 활용했습니다.”
그럼에도 아직까지 패치가 되지 않은 VPN 엔드포인트들은 수천 대에 이르고 있으며, 악성 공격자들은 이를 적극 익스플로잇 하고 있다는 소식이다. 이에 CISA는 “펄스 시큐어 측에서 취약점에 대한 소프트웨어 패치를 작년 4월부터 배포하고 있음에도, CVE-2019-11510에 대한 익스플로잇이 활발하게 벌어지고 있다”며 경고를 추가했다.
지난 1월 10일, 보안 업체 배드 패키츠(Bad Packets)는 “아직 취약한 상태로 남아있는 펄스 시큐어 VPN 서버들이 3623개나 발견된다”고 알렸다. 1월 4일에 인터넷을 스캔했을 때는 3825개 서버들이 패치가 안 된 상태였다고 한다. “패치가 되고는 있습니다만, 그 속도가 너무 느립니다.”
CISA는 “펄스 시큐어 취약점의 특성과 공격 방법이 이미 공격자들 사이에서 널리 알려지고 있다”며 “앞으로 VPN 환경에 대한 공격이 이어질 것으로 예상된다”고 사용자들을 촉구하기도 했다. “따라서 각 VPN 서버 관리자들은 시급히 패치를 진행하셔야 할 겁니다.”
영국의 대형 환전 서비스 업체인 트래블엑스(Travelex)는 연초부터 랜섬웨어에 걸려 마비된 적이 있다. 소디노키비 랜섬웨어가 시스템에서 발견됐고, 펄스 시큐어의 VPN 제품 내 있던 취약점을 통해 랜섬웨어가 퍼진 것으로 분석됐다. VPN 취약점을 통해 랜섬웨어에 실제로 감염된 가장 대표적인 사건이 됐다.
배드 패키츠에 의하면 편의점 체인인 ‘세븐일레븐’에서도 취약한 VPN 서버가 사용되고 있는 것이 발견됐고, 이 점을 회사 측에 알렸으나 아직까지 아무런 답이 없다고 한다. 두 번째 대표적 사건이 될 수 있어 ‘세븐일레븐’ 측의 발 빠른 대처가 요구된다.
3줄 요약
1. 작년에 발견되고 올해 다시 한 번 경고됐던 VPN 제품의 취약점, 익스플로잇 되고 있음.
2. 특히 최근부터 이 취약점 통해 랜섬웨어가 퍼지고 있다는 게 문제.
3. 제조사가 고객에 아무리 알려도 듣지 않자, CISA가 직접 경고.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
