Apache ActiveMQ Ãë¾àÁ¡, »çÀ̹ö °ø°ÝÀÚµé ¼±È£...11¿ù ºÏÇÑ ÇØÄ¿Á¶Á÷ ¾È´Ù¸®¿¤µµ ¾Ç¿ë
[º¸¾È´º½º ±è°æ¾Ö ±âÀÚ] ¾ÆÆÄÄ¡¼ÒÇÁÆ®¿þ¾îÀç´Ü(ÀÌÇÏ ¾ÆÆÄÄ¡Àç´Ü)ÀÇ ¿ÀǼҽº ERP ½Ã½ºÅÛ°ú Apache Struts¿¡¼ ¿ø°ÝÄÚµå ½ÇÇà Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù. ¶ÇÇÑ, ¾ÆÆÄÄ¡Àç´Ü¿¡¼ ÀÌ¹Ì ¾÷µ¥ÀÌÆ®¸¦ ¹ßÇ¥ÇßÀ½¿¡µµ ºÒ±¸ÇÏ°í ÆÐÄ¡ÇÏÁö ¾Ê¾Æ ¹ß»ýÇÒ ¼ö ÀÖ´Â Apache ActiveMQ Ãë¾àÁ¡ ¾Ç¿ë °ø°Ýµµ ÀÕµû¶ó Æ÷ÂøµÇ°í ÀÖ´Ù. ÀÌ¿¡ ÇØ´ç Ãë¾àÁ¡¿¡ ¿µÇâÀ» ¹Þ´Â ¹öÀü »ç¿ëÀÚ´Â ÃֽŠ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ®ÇØ¾ß ÇÑ´Ù.
1. CVE-2023-49070
¾ÆÆÄÄ¡Àç´ÜÀº Áö³ 8ÀÏ°ú 13ÀÏ ¿¬ÀÌ¾î º¸¾È ¾÷µ¥ÀÌÆ®¸¦ ¹ßÇ¥Çß´Ù. 8ÀÏ ¹ßÇ¥ÇÑ Ãë¾àÁ¡Àº ¿ÀǼҽº ERP ½Ã½ºÅÛ Apache OFBizÀÇ XML-RPC¿¡¼ ÀÎÁõµÇÁö ¾ÊÀº ¿ø°ÝÄÚµå ½ÇÇà(RCE) Ãë¾àÁ¡ÀÌ´Ù.
2. CVE-2023-50164
13ÀÏ ¹ßÇ¥ÇÑ Ãë¾àÁ¡Àº Java EE À¥ ¾ÖÇø®ÄÉÀÌ¼Ç °³¹ß¿ë ¿ÀǼҽºÀÎ Apache Struts¿¡¼ ¹ß»ýÇÏ´Â ¿ø°ÝÄÚµå ½ÇÇà(RCE)ÀÌ °¡´ÉÇÑ ÆÄÀÏ ¾÷·Îµå Ãë¾àÁ¡ÀÌ´Ù.
ÀÌ Ãë¾àÁ¡Àº Ãë¾àÁ¡ ³Ñ¹ö CVE-2023-50164·Î °ø°ÝÀÚ°¡ ÆÄÀÏ ¾÷·Îµå ¸Å°³º¯¼ö¸¦ Á¶ÀÛÇØ °æ·Î¼øȸ¸¦ ÇÒ ¼ö ÀÖ´Ù. Á¶ÀÛÀº ƯÁ¤ ½Ã³ª¸®¿À¿¡¼ °ø°ÝÀÚ°¡ ¾Ç¼º ÆÄÀÏÀ» ¾÷·ÎµåÇÒ ¼ö ÀÖ´Â ±ÇÇÑÀ» ºÎ¿©ÇÒ ¼ö ÀÖÀ¸¸ç, Ÿ±ê ½Ã½ºÅÛ¿¡¼ ¿ø°Ý ÄÚµå ½ÇÇàÀÌ °¡´ÉÇÏ´Ù.
Ãë¾àÁ¡¿¡ ³ëÃâµÈ Á¦Ç°°ú ¹öÀüÀº ¡âApache Struts ¹öÀü 2.0.0~2.5.32 ¹× 6.0.0~6.3.0.1ÀÌ´Ù. ÀÌ¿ëÀÚ´Â ÀÌ·¯ÇÑ À§ÇèÀ» ÀνÄÇÏ°í ½Ã½ºÅÛ º¸¾ÈÀ» À§ÇØ º¸¾È ÆÐÄ¡µÈ ¡âApache Struts ¹öÀü 2.5.33 ¹× 6.3.0.2À¸·Î ¾÷µ¥ÀÌÆ®ÇÏ´Â °Ô ¹Ù¶÷Á÷ÇÏ´Ù.
ƯÈ÷ Apache Struts Ãë¾àÁ¡ º¸¾È À̽´´Â 2017³â ¹Ì±¹ 3´ë °³ÀÎ ½Å¿ëÁ¤º¸¾÷üÀÎ ¿¡ÄûÆѽºÀÇ ¹Ì±¹ À¥»çÀÌÆ®¿¡¼ ´ë±Ô¸ð µ¥ÀÌÅÍ À¯Ãâ »ç°ÇÀÌ ¹ß»ýÇÑ ¹Ù ÀÖ´Ù´Â Á¡¿¡¼ ÁÖ¸ñÇÒ ÇÊ¿ä°¡ ÀÖ´Ù.
Çѱ¹ÀÎÅͳÝÁøÈï¿ø(KISA) ÀÌâ¿ë ÆÀÀåÀº ¡°¿ÀǼҽº ERP ½Ã½ºÅÛ°ú Apache Struts¿¡¼ ¿ø°ÝÄÚµå ½ÇÇà Ãë¾àÁ¡ ¸ðµÎ CVSS 9.8ÀÇ ¸Å¿ì À§Çè(CRITICAL) µî±Þ Ãë¾àÁ¡¡±À̶ó¸ç »ç°í ¿¹¹æÀ» À§ÇØ »ç¿ë ±â¾÷ÀÇ ½Å¼ÓÇÑ Á¶Ä¡¸¦ ´çºÎÇß´Ù.
À̾î ÀÌ ÆÀÀåÀº ¡°¿ÀǼҽº SW´Â ´Ù¾çÇÑ SW °³¹ß¿¡ È°¿ëµÇ±â ¶§¹®¿¡ ÇØ´ç SW¸¦ Á÷Á¢ »ç¿ëÇÏÁö ¾Ê¾Æµµ SW¿¡ ±¸¼º¿ä¼Ò·Î Æ÷ÇԵƴÂÁö È®ÀÎÇÏ°í Á¶Ä¡ÇØ¾ß ÇÑ´Ù¡±°í °Á¶Çß´Ù.
3. CVE-2023-46604
CVE-2023-46604´Â ¿ÀǼҽº ¸Þ½Ã¡°ú ÅëÇÕ ÆÐÅÏ ¼¹öÀÎ Apache ActiveMQ ¼¹öÀÇ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ÀÌ´Ù. ¸¸¾à ÆÐÄ¡µÇÁö ¾ÊÀº Apache ActiveMQ ¼¹ö°¡ ¿ÜºÎ¿¡ ³ëÃâµÈ °æ¿ì °ø°ÝÀÚ´Â ¿ø°Ý¿¡¼ ¾ÇÀÇÀûÀÎ ¸í·ÉÀ» ½ÇÇàÇØ ÇØ´ç ½Ã½ºÅÛÀ» Àå¾ÇÇÒ ¼ö ÀÖ´Ù.
ƯÈ÷ Apache ActiveMQ Ãë¾àÁ¡Àº °ú°Å ¹ßÇ¥µÈ Ãë¾àÁ¡ÀÌÁö¸¸ ¿©ÀüÈ÷ ´Ù¾çÇÑ °ø°ÝÀÚ°¡ ´Ü°ñ·Î »ç¿ëÇÏ°í ÀÖ´Ù´Â Á¡¿¡ ÁÖ¸ñÇØ¾ß ÇÑ´Ù. ÀÌ¿Í °ü·Ã ¾È·¦ ASECÀº Áö³ 13ÀÏ ¡°Apache ActiveMQ Ãë¾àÁ¡ °ø°ÝÀÌ Áö¼ÓµÇ°í ÀÖ´Ù¡±¸ç ¡°ÃÖ±Ù¿¡´Â ¡âLadon ¡âNetCat ¡âAnyDesk ¡âz0Miner¸¦ ¼³Ä¡ÇÏ´Â °ø°ÝÀÌ Ãß°¡·Î È®Àεƴ١±°í ¹àÇû´Ù.
LadonÀº Áß±¹¾î ±â¹Ý °ø°ÝÀÚ°¡ ÁÖ·Î »ç¿ëÇÏ´Â µµ±¸ Áß Çϳª·Î ½ºÄ³´×, ±ÇÇÑ»ó½Â, °èÁ¤Á¤º¸ Å»Ãë, ¸®¹ö½º ½© µî°ú °°ÀÌ °ø°Ý °úÁ¤¿¡ ÇÊ¿äÇÑ ´Ù¾çÇÑ ±â´ÉÀ» Áö¿øÇÑ´Ù.
NetCatÀº TCP¡¤UDP ÇÁ·ÎÅäÄÝ·Î ¿¬°áµÈ ³×Æ®¿öÅ©»ó¿¡¼ ƯÁ¤ ´ë»ó°ú µ¥ÀÌÅ͸¦ ¼Û¼ö½ÅÇÏ°Ô ÇØÁÖ´Â À¯Æ¿¸®Æ¼´Ù. ¸®´ª½º»Ó¸¸ ¾Æ´Ï¶ó À©µµ¿ì ȯ°æµµ Áö¿øÇÏ´Â °Ô Ư¡ÀÌ´Ù. ³×Æ®¿öÅ© Å×½ºÆ® ¸ñÀû¿¡¼ ´Ù¾çÇÑ ±â´ÉÀ» Á¦°øÇØ ³×Æ®¿öÅ© °ü¸®ÀÚµµ ÀÚÁÖ »ç¿ëÇÏ´Â µµ±¸´Ù.
ÇÏÁö¸¸ ¹Ý´ë·Î °ø°ÝÀÚµµ ¾Ç¿ëÇÒ ¼ö ÀÖ´Ù. °ø°ÝÀÚ´Â NetcatÀ» ½ÇÇàÇÏ¸é¼ Àü´ÞÇÏ´Â ¸í·ÉÀ» ÀÌ¿ëÇØ ¸®¹ö½º ½©À̳ª ¹ÙÀÎµå ½©·Î »ç¿ëÇÒ ¼ö ÀÖ´Ù. ÀÌ´Â ½ÇÁ¦ Ãë¾àÇÑ À¥ ¼¹ö³ª MS-SQL ¼¹ö¸¦ ³ë¸° ´Ù¾çÇÑ °ø°Ý¿¡ »ç¿ëµÈ ¹Ù ÀÖ´Ù.
À̹ø¿¡ È®ÀÎµÈ °ø°ÝÀÇ °æ¿ì ¿ÜºÎ Netcat ´Ù¿î·Îµå ÀÌÈÄ, ¸®¹ö½º ½© ¸í·ÉÀ¸·Î °¨¿° ½Ã½ºÅÛ¿¡ ´ëÇÑ ½©À» ȹµæÇß´Ù´Â °Ô ¾È·¦ÀÇ ºÐ¼®ÀÌ´Ù.
°ø°ÝÀÚ´Â °¨¿° ½Ã½ºÅÛÀ» Àå¾ÇÇÑ ÈÄ, ¿ø°Ý¿¡¼ ȸéÁ¦¾î ¸ñÀûÀ¸·Î VNC³ª RDP, ¿ø°ÝÁ¦¾î µµ±¸¸¦ Ãß°¡·Î ¼³Ä¡ÇÑ´Ù. ÃÖ±Ù¿¡´Â º¸¾ÈÁ¦Ç° ¿ìȸ ¸ñÀûÀ¸·Î AnyDesk³ª NetSupport, Å©·Ò ¿ø°Ý µ¥½ºÅ©Åé°ú °°Àº ¿ø°ÝÁ¦¾î µµ±¸°¡ ÀÚÁÖ »ç¿ëµÇ°í ÀÖ´Ù.
À̹ø¿¡ È®ÀÎµÈ °ø°Ýµµ NetcatÀ» ÀÌ¿ëÇØ AnyDesk¸¦ Ãß°¡ ¼³Ä¡ÇÑ ÈÄ, ÀÎÀÚ·Î ºñ¹Ð¹øÈ£¸¦ ¼³Á¤ÇÏ°í ½ÇÇàÇß´Ù. ÀÌ´Â °ú°Å MS-SQL ¼¹ö ´ë»ó °ø°Ý »ç·Ê¿Í °ÅÀÇ µ¿ÀÏÇÑ ¹æ½ÄÀÌ´Ù. ÀÌ·¸°Ô ÀÎÀÚ·Î Àü´ÞÇß´ø ºñ¹Ð¹øÈ£¸¦ ÀÔ·ÂÇØ ¿ø°Ý¿¡¼ °¨¿° ½Ã½ºÅÛÀ» Á¦¾îÇÒ ¼ö ÀÖ´Ù.
ƯÈ÷ Apache ActiveMQ Ãë¾àÁ¡ °ø°ÝÀº Áö³ 11¿ù ºÏÇÑ ÇØÄ¿Á¶Á÷ ¾È´Ù¸®¿¤ ±×·ìÀÌ ¾Ç¿ëÇÑ ¹Ù ÀÖÀ¸¸ç, ÀÌ ¿Ü¿¡ HelloKitty ·£¼¶¿þ¾î, ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ©, ¸ÞŸ½ºÇ÷ÎÀÕ ¹ÌÅÍÇÁ¸®ÅÍ °ø°Ý¿¡µµ ¾Ç¿ëµÆ´Ù.
À͸íÀ» ¿äûÇÑ º¸¾ÈÀü¹®°¡´Â ¡°¾ÆÆÄÄ¡ ¿ÀǼҽº ERP ½Ã½ºÅÛ°ú Apache Struts¿¡¼ ¹ß°ßµÈ ¿ø°ÝÄÚµå ½ÇÇà Ãë¾àÁ¡Àº ¿ÜºÎ¿¡ ³ëÃâµÇ¾î ÀÖ´Â °æ¿ì°¡ ¸¹¾Æ ¿ø°Ý¿¡¼ °ø°ÝÇÒ ¼ö ÀÖ´Ù¡±¸ç ¡°Apache ActiveMQ Ãë¾àÁ¡À» ÀÌ¿ëÇÑ »ç·Êµµ °è¼Ó ¹ß°ßµÇ°í ÀÖ¾î ½Å¼ÓÇÑ ÆÐÄ¡°¡ ÇÊ¿äÇÏ´Ù¡±°í °Á¶Çß´Ù.
º¸¾ÈÇÁ·ÎÁ§Æ® Á¶Á¤¿ø ´ëÇ¥´Â ¡°apache Structs Ãë¾àÁ¡Àº ¸Å³â Á¤±âÀûÀ¸·Î ¹ß»ýÇÏ°í ÀÖ¾î ´ã´çÀÚ¸¦ ±äÀåÇÏ°Ô ÇÑ´Ù¡±¸ç ¡°´ëºÎºÐ ¿ø°Ý¿¡¼ ½Ã½ºÅÛÀÇ ¸í·É¾î ±ÇÇÑÀ» ȹµæÇØ Á¦¾î(RCEÃë¾àÁ¡)ÇÒ ¼ö ÀÖ´Â °ÍÀ̶ó, ÃֽŠÃë¾àÁ¡ À̽´¸¦ ¸ð´ÏÅ͸µ ÇØ¾ß ÇÑ´Ù¡±°í °Á¶Çß´Ù.
À̾î Á¶Á¤¿ø ´ëÇ¥´Â ¡°°ø°ÝÄڵ尡 °ø°³µÇ¸é, ºü¸£¸é ¸î½Ã°£ ¾È¿¡ ¼ö ¸¹Àº ´ë»óÀ¸·Î °ø°ÝÀÌ À¯À﵃ ¼ö ÀÖ°í, ħÀÔŽÁö ½Ã½ºÅÛ¿¡ ŽÁö·êÀÌ ¾÷µ¥ÀÌÆ®µÇ¾î ÀÖÁö »óÅ¿¡¼ °ø°ÝÀÌ À¯ÀԵǸé, °ø°Ý ¿©ºÎ¸¦ ÆÇ´ÜÇϱâ Èûµé´Ù¡±¸ç ¡°¾÷µ¥ÀÌÆ®¸¦ ÇÑ ÈÄ¿¡µµ ±âÁ¸ ³¯Â¥ÀÇ ½Ã½ºÅÛ°ú À¥ ·Î±× µîÀ» È®ÀÎÇØ ¾Ç¼ºÄÚµå ¼³Ä¡ ¿©ºÎ¸¦ Á¡°ËÇÏ´Â °Íµµ Áß¿äÇÏ´Ù¡±°í ¼³¸íÇß´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>