코드 실행 통해 계정 추가하고 보안 기능 해제시킬 수 있어...4.93 버전부터 안전
[보안뉴스 문가용 기자] 미국 NSA가 지난 주 엑심(Exim) 메일 서버를 표적으로 하는 사이버 공격에 대한 정보를 공개했다. 이에 의하면 공격자는 러시아 정부와 관련이 있는 것으로 여겨지는 샌드웜 팀(Sandworm Team)이라고 한다.
[이미지 = utoimge]
엑심은 오픈소스 메일 전송 에이전트(MTA)로, 전 세계적으로 널리 사용되고 있다. 현존하는 이메일 서버들의 절반 이상이 엑심을 활용하고 있으며, 일부 리눅스 버전들에서는 엑심이 설치된 채 배포되기도 한다. 실제 사용자 기업들의 규모도 꽤나 큰 것으로 알려져 있다.
지난 해 엑심 개발자들은 CVE-2019-10149라는 취약점을 패치한 바 있다. 이 취약점은 로컬과 원격의 공격자들이 임의의 명령을 루트에서 실행시킬 수 있게 해주는 것이었다. 350만 개의 장비들이 이 취약점에 노출된 것으로 나타났으며, 취약점 패치가 발표되다 곧 실제 공격이 일어나기 시작했다.
이번에 NSA가 발표한 것은 CVE-2019-10149와 관련이 있다. 러시아의 해커들이 최소한 2019년 8월부터 이 취약점을 익스플로잇 하면서 여러 시스템에서 명령과 코드를 실행했다는 것이다. NSA는 이러한 행위를 하고 있는 자들이 러시아의 GRU 소속이라고 하며, 취약점 익스플로잇을 통해 권한 높은 사용자 계정 추가, 네트워크 보안 해제, 네트워크 익스플로잇을 위한 추가 스크립트 실행 등을 했다고 한다.
샌드웜 팀은 텔레봇츠(TeleBots)라고도 불리는 공격 단체로, 주로 사이버 정찰 행위를 실행하며, APT28이라는 또 다른 사이버 공격 단체와 활동 범위나 목적성에 있어 여러 부분에서 겹치는 모습을 보여준다. APT28은 폰 스톰(Pawn Storm), 팬시 베어(Fancy Bear), 소파시(Sofacy), 세드닛(Sednit) 등으로 불리는 단체다. APT28과 샌드웜은 공격 도구와 방식에서 차이를 보인다.
샌드웜은 주로 유럽연합 정부 조직들, 프랑스와 독일의 매체, 러시아 정부에 반대하는 세력, 러시아 내 LGBT 관련 조직들을 공격하는 것으로 알려져 있다. 또한 우크라이나의 전력망을 공격한 것으로도 유명하다. 뿐만 아니라 2016년 미국 대선 당시 각종 허위 정보 유포 공격과 2017년 낫페트야(NotPetya)와 VPN필터(VPNFilter) 배후 세력으로도 알려져 있다.
NSA의 권고문에 의하면 샌드웜 팀은 패치가 되지 않은 엑심 이메일 서버를 표적 공격하고 있다고 한다. SMTP 메시지의 MAIL FORM 부분에 명령을 입력함으로써 위에 언급된 취약점을 공략하는 것이다. 익스플로잇에 성공할 경우, 공격자들은 피해자의 시스템에 셸 스크립트를 다운로드 해 설치할 수 있게 된다.
못해도 2019년 8월부터 진행된 것으로 보이는 이 공격은 두 개의 IP 주소와 한 개의 도메인으로부터 진행되고 있다고 NSA는 알리기도 했다. 95.216.13.196, 103.94.157.5, hostapp.be이 바로 그것이다.
NSA는 “엑심 사용자나 사용 조직이라면 즉각 4.93 혹은 상위 버전으로 업데이트 해야 한다”고 권고했다. “현재 이 취약점은 활발히 익스플로잇 되고 있습니다. 피해자도 늘어나고 있고 더 많은 정보가 새나가고 있습니다. 따라서 엑심 최신 버전으로 업데이트 하시는 것을 권장합니다.”
3줄 요약
1. 미국 NSA, 엑심 서버의 취약점을 러시아 공격자들이 노린다고 발표.
2. 문제의 취약점은 작년에 이미 패치된 것으로, 적용하기만 하면 안전.
3. 취약점 패치 하지 않을 경우, 공격자가 임의의 코드를 실행하고 관리자 계정 만들 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>