보안뉴스 창간 18주년을 축하합니다!!

Home > 전체기사

내부망 침투, 랜섬웨어 감염, 금전탈취 노리는 해커들의 악용 취약점 TOP 3

입력 : 2024-03-14 14:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
파일 업로드, 원격 명령 실행, PC 권한 획득까지 3대 공격통로 악용해 공격
파일 업로드 : 파일 확장자 검증 미흡, 관리자 페이지 통한 업로드, 업로드 파일 검증 우회
원격 명령 실행 : 파일공유 솔루션 명령 실행, 서버접근통제 솔루션 명령 실행 공격
PC 권한 획득 : NAC 솔루션 백업 파일 관리 미흡, 파일 전송 솔루션 RCE 취약점 공격


[보안뉴스 김경애 기자] 공급망 공격, 랜섬웨어 감염, 금전탈취 등을 위해 서드파티(3rd Party) 취약점을 노린 공격에 각별한 주의가 요구된다. 특히 3rd Party를 노린 △파일 업로드 △원격 명령 실행 취약점 △PC 권한 획득 등 3대 공격 통로가 치명적인 침투 원인으로 지목되고 있다.


3rd Party는 형태별로 단일 소프트웨어 형태와 하드웨어와 소프트웨어가 포함된 어플라이언스 장비 형태로 구분된다. 소프트웨어 형태는 ①패키지 소프트웨어 ②개발에 활용할 수 있는 유료 또는 오픈소스 라이브러리 등으로 나뉜다.

기능별로는 일반 사무 업무를 위한 ③업무용 솔루션과 ④보안 솔루션으로 나뉜다. 특히 보안 솔루션의 경우 △통합인증 △망분리 및 망연계, 계정관리 △서버접근통제 △네트워크 접근통제 △정보유출방지 △개인정보 탐색 △DB접근통제 △문서 보안 △안티바이러스 △엔드포인트 대응 △침입차단·탐지·방지시스템, △웹방화벽 △보안운영체제 등이 있다. 이 외에도 △웹쉘탐지 솔루션 △백업 솔루션 등 목적에 따른 다양한 솔루션이 존재한다.

중요한 사실은 대부분의 솔루션이 PC와 서버에 연동되어 동작하고, 높은 권한을 통해 연동된 장비들을 컨트롤할 수 있다는 것이다. 이는 취약점이 발견돼 역으로 공격에 악용할 경우 치명적인 피해를 입을수 있다는 얘기다. 공격자는 바로 이러한 3rd Party를 노리고 랜섬웨어 감염, 금전탈취, 내부망 침투 등의 공격을 감행하고 있다.

금융보안원 RED IRIS팀은 3rd Party를 노린 공격의 주요 통로로 △파일 업로드 △원격 명령 실행 취약점 △PC 권한 획득 취약점을 지목했다.

1. 파일 업로드 취약점 : 게시판 모듈 취약점, 가장 많이 발견
파일 업로드 취약점의 경우 솔루션 사용자 인터페이스의 파일 업로드 기능을 이용해 악의적인 웹쉘 파일을 업로드 할 수 있다. 서버 권한을 탈취할 수 있는 대표적인 취약점으로 웹쉘 업로드에 성공하면 구동 중인 웹 서비스 권한으로 쉘을 획득하게 된다. 서버 내 파일 열람 뿐 아니라 소스코드 다운로드, 연동 데이터베이스 추가 침투 등 위험도가 높은 후속 공격(Post Exploitation)으로 이어지게 된다.

파일 업로드가 성공하면 해당 서버 내에 존재하는 인증정보 및 호스트 정보 등 추가 침투를 할 수 있는 유용한 정보를 획득할 수 있다. 동일한 이유로 실제 공격자들 역시 파일 업로드 취약점을 통한 공격을 지속적으로 시도하고 있다.

그중 파일 업로드 취약점은 게시판, 관리자 기능, 사용자 프로필 등 업로드가 가능한 다양한 경로에서 발견된다. 가장 많이 발견된 사례는 게시판 모듈 취약점이다. 대다수의 게시판 솔루션에서는 사용자 및 관리자의 게시물 게시, 연동 정보 내보내기, 가져오기 기능 등을 제공하고 있다.

이러한 게시판 관련 기능은 빠르고 안정적인 구현을 위해 외부 모듈을 사용하는 경우가 많다. 문제는 이러한 게시판 및 에디터 관련 제품 개발사가 폐업했거나 새로운 제품 출시 이후 기존 제품 지원이 종료되는 등 여러 이유로 업데이트가 중단되는 경우가 많다. 또한 한번 도입한 이후에는 보안 패치를 하지 않고 방치되는 경우도 있어 파일 업로드 취약점에 노출될 수 있다.

① 업로드 파일 확장자 검증 미흡
대부분의 최신 버전 에디터에서는 기본적으로 JSP등 악의적인 파일이 업로드 되지 않도록 업로드 파일의 확장자를 제한하고 있다. 하지만 일부 구버전 게시판 에디터의 경우 별도의 검증이 없어 파일 첨부 기능 또는 이미지 첨부 기능을 통해 쉽게 웹쉘 업로드가 가능하다.

특히 일부 에디터 구버전의 경우 기본적으로 함께 설치되는 테스트용 페이지를 통해 웹쉘 업로드가 가능해 각별한 주의가 필요하다. 악용 가능성을 고려해 세부 URL을 기재하지 않았으나, 국내에서 주로 사용되는 다수의 웹에디터에서 지속적으로 업로드 관련 취약점이 발견되고 있고, 실제 이를 통한 해킹 공격 시도가 꾸준히 탐지되고 있다.

3rd Party 웹에디터를 사용하는 경우 확장자 필터링 등 보안 설정을 제공하는 최신 버전으로 업데이트하거나, 보안 검증 절차를 추가로 사용해야 한다.

옵션값 수정을 통해 업로드 기능을 강제 활성화해 공격이 가능한 경우도 존재한다. 일부 게시판의 경우 최초 브라우저에서 로드 시 설정 파일을 서버에서 받아오며, 이 파일 안에는 특정 기능 활성화 여부, 허용 파일타입, 허용 용량 등 다양한 옵션값이 존재한다.

클라이언트에서 옵션값을 변경해 브라우저에 로드되는 에디터의 이미지 업로드 기능을 임의로 활성화시키고, 허용 타입을 추가하는 경우 파일 업로드가 가능한 사례가 존재했다. 이와 같이 우회 공격이 가능해 옵션값을 서버에서 가져오도록 설정해야 한다.

② 관리자 페이지를 통한 파일 업로드
솔루션에는 관리자를 위한 별도의 관리용 메뉴가 존재하며, 관리용 기능에서는 별도의 보안 검증을 수행하지 않는 경우가 많다. 사용자 입장에서 관리자 페이지 및 URL이 노출되어 있지 않더라도 공격자는 추측 및 무작위 대입을 통해 관리 기능을 제공하는 URL의 존재를 식별할 수 있다. 인증 및 인가 등 권한 관리 미흡 취약점을 이용하거나 계정 및 비밀번호 유추를 통해 관리자 계정이 탈취되는 경우에는 이러한 기능을 악용해 웹쉘 업로드까지 이어지게 된다.

또한 Weblogic, Tomcat, JBoss, JEUS등 대부분의 WAS 서버에는 별도 포트에서 구동되는 WAS 관리자 애플리케이션이 존재한다. 이러한 관리자 애플리케이션은 기본적으로 로컬 호스트(localhost)로 동작하지만 원활한 관리를 위해 원격에서도 접근이 가능하도록 설정된 경우가 적지 않다. 하지만 이 경우 관리자 계정 비밀번호를 유추해 로그인에 성공하면 아무런 제한 없이 웹쉘을 업로드 할 수 있다.

관리자 페이지가 내부망이거나 관리자 애플리케이션을 별도 포트에서 분리 운영하는 경우에는 상대적으로 계정 관리가 엄격하게 이루어지지 않는 경향이 있다. 설치 시 기본적으로 설정되는 비밀번호로 설정되어 있거나 유추 가능한 쉬운 비밀번호로 설정되어 있다. 로그인 성공 시 관리자 애플리케이션을 이용할 수 있고, 자유롭게 파일을 업로드 할 수 있어 웹쉘 애플리케이션을 배포(Deploy) 할 수 있다.

WAS 서버의 경우 방화벽에 의해 포트가 차단되어 있다보니 안전한 것으로 간주해 계정 관리 및 포트 변경 등 보안 관리에 소홀할 수 있다. 하지만 DMZ 구간 내 웹애플리케이션을 통해 웹쉘이 업로드되어 초기 침투에 성공하면, 침투한 서버를 경유지로 방화벽을 우회할 수 있고, 이를 통해 관리자 포트에 접근이 가능하다. 이러한 사례가 높은 빈도로 발견되고 있어 반드시 점검 및 조치가 필요하다.

③ 업로드 파일 검증 우회
최근에는 에디터 및 업로드 모듈에서 기본 설정으로 JSP파일 업로드가 불가능하도록 하고 있으나, 검증이 미흡해 쉽게 우회하는 경우가 발생한다. 간혹 에디터의 유연성을 위해 서버에 설정된 고정적인 옵션을 사용하지 않고 로그인 시 사용자에게 기능 사용 여부 등을 입력받는 경우가 있다. 이러한 경우 허용 확장자, 파일명 랜덤 생성 등의 옵션을 입력받는 파라미터를 조작해 웹셸 업로드가 가능하다.

2. 원격 명령 실행 취약점
① 파일공유 솔루션 명령 실행 취약점

파일 공유 솔루션의 다수의 URL에서 SQL 인젝션 취약점이 발견됐다. 파일 다운로드 메뉴에서도 SQL 인젝션 취약점이 가능해 파일명을 조작해 임의 파일을 다운로드할 수 있다.

SQL 인젝션을 통해 실행될 명령어의 인자값을 조작하거나, 추가로 명령어를 삽입해 원하는 명령어를 실행시킬 수 있다. 인젝션 공격을 통해 데이터베이스 쿼리 결과를 조작해 명령 실행 공격으로 확장된 특수한 케이스로 서버 침투까지 연계될 수 있는 위험도 높은 취약점이다.

이와 같이 사용자에게 입력값을 받아 사용할 때에는 항상 의도하지 않은 입력값이 들어올 수 있다. 이로 인해 보안에 심각한 영향을 끼칠 수 있음을 인지하고, 반드시 입력값의 적정성을 검증힌 후 사용해야 한다. 특히 코드 내에서 명령어를 실행하는 경우 가능한 사용자 입력값이 직접 명령어에 포함되지 않도록 하고, 반드시 포함돼야 하는 경우에는 쉘 명령어 인젝션에 사용될 수 있는 특수문자 포함 여부를 반드시 검증해야 한다.

② 서버접근통제 솔루션 명령 실행 취약점
서버접근통제 솔루션은 연동된 모든 서버의 접속 권한을 중앙집중 관리하기 때문에 취약점이 발견됐을 때 그만큼 파급력이 크다.

서버접근통제 솔루션은 자체적으로 사용되는 로컬 데이터베이스의 포트가 기본적으로 외부에서도 접근이 가능해 관리자 계정의 비밀번호가 쉽게 유추 가능하다. 이를 통해 데이터베이스 관리자로 로그인 후 다양한 추가 공격을 수행할 수 있다.

3. PC 권한 획득 취약점
대부분의 금융사는 솔루션 자체의 관리자 IP 접근 제한 기능 또는 방화벽을 통해 실제 관리자만 접속이 가능하도록 접근통제를 수행한다. 이러한 경우 공격자는 우회하기 위해 접근이 허용된 PC의 권한을 먼저 탈취, 취약점을 통해 접근 제한 통제를 무력화한다.

① NAC 솔루션 백업 파일 관리 미흡 취약점
NAC(네트워크 접근통제) 솔루션은 주로 인가되지 않은 단말기가 네트워크에 연결되지 못하도록 차단하는 역할을 수행한다. PC와 연동하기 위해 솔루션 서버와 통신하는 별도의 에이전트를 설치하는 경우가 많으며, 에이전트는 PC를 관리하기 위해 시스템 내에서 관리자 수준의 높은 권한으로 동작하게 된다.

NAC 솔루션 서버에는 관리 및 안내를 위한 웹 인터페이스를 제공한다. 취약 버전에서 특정 URL 호출 시 디렉터리 리스팅이 가능한 취약점이 존재한다. 또한 백업 기능을 통해 이미지 백업 파일 생성 시 디렉터리 리스팅을 통해 해당 파일의 전체 경로를 확인할 수 있어 다운로드가 가능하다.

백업 파일 내에는 솔루션 데이터베이스 접속 정보, SSH 접속 계정 및 비밀번호 해시 등 중요한 정보가 존재하며, 비밀번호 해시 크랙을 성공하는 경우 관리자 권한 획득이 가능하다.

NAC 솔루션 관리자 권한 획득 이후에는 연동되어 있는 수많은 PC 및 서버에 원격으로 명령 실행이 가능하며, 수많은 추가적인 솔루션 관리자 접근통제를 우회할 수 있다.

② 파일 전송 솔루션 RCE 취약점
업무용 PC는 일반적으로 보안 통제를 위해 다양한 솔루션의 에이전트 프로그램이 설치된다. 대표적인 PC 설치 솔루션으로는 AV, DRM, SSO, DLP, NAC 파일 전송 모듈 등이 존재하며, 이러한 솔루션은 PC를 제어해야 하므로 대부분 관리자 권한으로 동작한다.

공격자는 이러한 프로그램들의 실행 과정 분석, 프로그램 역분석 등을 통해 취약점을 찾아 공격을 시도한다. 다수의 에이전트는 서버와 통신하기 위해 외부에서 접근 가능한 포트를 열어 두기 때문에 원격으로 공격이 수행될 수 있다.

파일 전송 솔루션은 1) 파일전송 솔루션의 원격 다운로드 기능을 통해 악성코드 다운로드 2) 파일전송 솔루션의 로컬 파일 실행 기능을 통해 악성코드 실행 3) C&C 서버를 통한 다수의 PC 권한 획득이 가능하다.

이외에도 운영체제 커널 또는 드라이버의 알려진 취약점(CVE)을 이용한 PC 권한 획득이 가능하고, 솔루션 에이전트와 같은 응용프로그램의 취약점을 이용하는 경우가 많이 발견됐다.

이와 관련 RED IRIS팀은 “솔루션의 위험성 인식 제고 및 관리가 중요하다”며 “관리가 미흡한 솔루션은 양날의 검으로 계정 및 접근통제 등 철저한 관리가 필수”하고 강조했다. 이어 “모의해킹을 통한 실질적인 위협 식별이 필요하다”며 “솔루션 취약점의 공동 대응이 요구된다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)