협업 툴 컨플루언스의 취약점 통해 AES디도스 멀웨어 퍼져

아틀라시안이 만든 협업 툴...취약점 통해 디도스 공격 가능한 멀웨어 심겨
이번에 동원된 AES디도스 멀웨어, 다양한 유형의 디도스 공격 가능

[보안뉴스 문가용 기자] AES디도스 봇넷 멀웨어의 최신 변종이 아틀라시안(Atlassian)의 협업 소프트웨어인 컨플루언스(Confluence)의 취약점을 표적으로 삼아 활동하고 있다고 보안 업체 트렌드 마이크로(Trend Micro)가 공개했다.

[이미지 = iclickart]

문제가 되는 취약점은 ‘서버 사이드 템플릿 주입’과 관련된 것으로, CVE-2019-3396이라는 번호가 부여됐다. 컨플루언스 서버의 위젯 커넥터(Widget Connector) 매크로에 존재하는 것으로, 공격자들이 이를 통해 디도스 공격, 원격 코드 실행 공격, 암호화폐 채굴 공격을 실시하는 멀웨어를 심고 있다.

공격자들은 1) 제일 먼저 셸 명령어를 원격에서 실행해 2) 악성 셸 스크립트를 다운로드 받아 실행하며, 3) 이 스크립트를 통해 또 다른 셸 스크립트를 다운로드 받아, 4) AES디도스 봇넷 멀웨어를 최종적으로 설치하는 것으로 알려졌다.

이 캠페인에 사용되고 있는 AES디도스 변종은 다양한 유형의 디도스 공격을 실시할 수 있다고 알려져 있다. “SYN, LSYN, UDP, UDPS, TCP 플러딩 공격이 전부 가능하죠. 게다가 특정 IP 주소와도 연결시켜 원격 셸 명령어를 공격자로부터 직접 전달받을 수도 있습니다.”

AES디도스 멀웨어가 한 번 시스템에 설치되고 나면, 먼저 다양한 정보를 수집한다. 그리고 그 정보를 공격자에게 전달한다. “시스템의 모델 ID, CPU 관련 정보, 속도, 모델명, 유형 등의 정보가 여기에 포함됩니다. C&C 서버와 통신을 할 때 모든 정보가 AES 알고리즘으로 암호화 됩니다.”

트렌드 마이크로의 보안 전문가들은 “이번에 발견된 AES디도스 변종은 {malware path}/{malware file name} 리부트 명령어를 첨부함으로써 파일을 조작한다”고 설명을 덧붙였다. 이렇게 함으로써 자동 시작 기술이 파일에 추가될 수 있다는 것.

아틀라시안은 이 취약점에 대한 패치를 이미 배포하기 시작했다. 컨플루언스 사용자들이라면 버전을 6.15.1로 올려 이러한 각종 사이버 공격으로부터 스스로를 보호할 것이 권장된다.

“아틀라시안 컨플루언스 서버에서 발견된 CVE-2019-3396 취약점을 성공적으로 익스플로잇 하면 다양한 디지털 자원과 기업들에 큰 위협이 될 수 있습니다. 그러므로 최신 위협 첩보들을 최대한 빨리 접하고, 그에 대한 조치 방법을 사방으로 알아보고 적용시키는 게 중요합니다. 애플리케이션의 설계와 그 기저에 깔린 인프라는 최대한 빨리 업데이트하는 게 모든 환경에서 가장 기본적이고 중요한 사안입니다.”

3줄 요약
1. 아틀라시안의 컨플루언스라는 프로그램에서 취약점 발견됨.
2. 이 취약점 통해 각종 셸 스크립트가 설치되고, 이 스크립트를 통해 마지막으로 AES디도스 봇넷 멀웨어가 설치됨.
3. AES디도스 봇넷 멀웨어는 다양한 유형의 디도스 공격을 실시할 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다