VM웨어에서 발견되고 패치된 원격 코드 실행 취약점이 여전히 익스플로잇 되고 있다. 패치를 빨리 적용하지 않는 사용자들의 습관을 알기 때문에 패치가 나왔건 말건 이들에게는 상관이 없다. 그러니 빨리 패치하는 게 가장 안전한 방법이다.

[보안뉴스 문가용 기자] 최근 발견된 VM웨어 취약점들이 지속적인 사이버 공격자들의 익스플로잇 재료가 되고 있다는 소식이다. 보안 업체 바라쿠다(Barracuda)에 의하면 공격자들이 계속해서 노리는 취약점은 CVE-2022-22954이지만 여러 다른 취약점들 역시 갖가지 방법으로 익스플로잇 되고 있다고 한다.

​

[이미지 = utoimage]

CVE-2022-22954는 CVSS 기준 9.8점을 기록할 정도로 위험한 취약점이다. VM웨어 워크스페이스 원(VMware Workspace ONE)이라는 IAM 플랫폼에서 발견됐다. 워크스페이스원은 기업용 애플리케이션들을 아무 장비에나 구축할 수 있도록 해 주는 VM웨어의 플랫폼으로, 일종의 모바일 장비 관리 솔루션이라고 볼 수 있다. IAM은 이러한 솔루션에 장착된 신원 관리 기능이다. 취약점 익스플로잇에 성공한 공격자는 서버사이드 템플릿 주입을 통해 원격 코드 실행을 야기할 수 있게 된다.

바라쿠다의 수석 제품 마케팅 국장인 마이크 골드고프(Mike Goldgof)는 “공격에 성공한 해커는 시스템을 마비시킬 수도 있고, 데이터를 빼돌릴 수도 있고, 랜섬웨어와 같은 멀웨어를 심을 수도 있다”고 설명한다. “최근에 패치가 나왔기 때문에 더 위험합니다. 패치와 관련된 정보와 권고문을 해커들도 유심히 연구하거든요. 그리고 사용자들이 패치를 적용하기 전에 자신들이 먼저 익스플로잇 하려고 하죠. 게다가 VM웨어의 플랫폼과 솔루션은 예나 지금이나 공격자들에게 인기가 높습니다. 사용자들이 그만큼 많기 때문입니다.”

하지만 CVE-2022-22954만이 문제는 아니다. CVSS 기준 7.8점짜리 취약점인 CVE-2022-22960 역시 활발히 익스플로잇 되고 있다. 이는 로컬 권한 상승 취약점으로, VM웨어 워크스페이스 원과 브이리얼라이즈 오토메이션(vRealize Automation)에서 발견되고 있다. 스크립트 지원 및 권한 설정과 관련된 부분에서 오류가 나와 발생되는 취약점이라고 VM웨어는 설명하고 있다. 익스플로잇에 성공한 공격자들은 루트 권한을 가져갈 수 있게 된다. 다만 이 취약점의 경우 이전에 발견된 또 다른 취약점과 같이 연쇄적으로 익스플로잇을 해야만 한다고 바라쿠다 측은 설명했다.

VM웨어가 이 두 가지 취약점들을 공개한 건 지난 4월의 일이다. 취약점이 공개되고 얼마 지나지 않아 개념증명용 익스플로잇이 깃허브를 통해 공개됐고, 이 사실이 트위터를 통해 퍼져나갔다. 이에 각 지역의 보안 전문가들이 이 문제를 탐구하기 시작했고, 당연스럽게도 해커들 역시 익스플로잇 시도를 활발히 이어가기 시작했다. 그리고 그 흐름이 지금까지도 이어지고 있다.

“널리 사용하는 플랫폼이나 애플리케이션에서 취약점이 나왔다? 해커들에게는 이것보다 더 기쁜 소식이 없습니다. 적은 연구로 보다 많은 효과를 거둘 수 있게 되니까요. 그래서 너도 나도 달려듭니다.” 보안 업체 벌칸사이버(Vulcan Cyber)의 기술 엔지니어인 마이크 파킨(Mike Parkin)의 설명이다. “VM웨어의 제품은 가상화 분야에서 가장 인기가 높다고 해도 무방합니다. 그리고 굉장히 강력한 장비에 설치되어 돌아가는 경우가 많죠. 공격자로서는 VM웨어에서 나온 취약점을 연구하지 않을 이유가 없습니다.”

현재까지 시도된 익스플로잇 공격을 분석했을 때 깃허브를 통해 공개된 개념증명용 코드가 대부분 활용된 것으로 분석됐다. 그리고 봇넷이 주로 활용됐다는 것도 조사를 통해 발견됐다. 특히 미라이(Mirai)를 기반으로 한 봇넷들이 많이 발견되고 있다고 한다. “여기에 에너미봇(EnemyBot) 샘플들도 일부 발견되는 중입니다. 이 두 가지 봇넷은 모두 디도스 공격을 주특기로 하는 봇넷입니다.”

또 하나 유의해야 할 건 로그4셸(Log4Shell)이라는 취약점에 대한 익스플로잇도 발견되고 있다는 것이다. VM웨어의 워크스테이션 원 등 여러 플랫폼들을 공략하기 위해 위의 두 가지 취약점 외에 로그4셸 익스플로잇도 간간히 시도되고 있다는 뜻이다. 로그4셸은 역대 최악의 취약점으로 알려져 있으며, 로그4j(Log4j)라는 자바 라이브러리에서 발견되었다. 로그4j는 너무나 광범위하게 사용되고 있어 취약한 부분을 찾아내는 데에 수년은 족히 걸릴 것이라고 한다.

한편 이번에 VM웨어 제품들에서 발견되는 취약점 익스플로잇 시도를 주도하고 있는 배후 세력이 특정되지는 않았다. 다만 지난 4월 CVE-2022-22954를 익스플로잇 하는 이란 해킹 그룹 로켓키튼(Rocket Kitten)의 움직임이 포착되기는 했었다. 그리고 같은 달 암호화폐를 집중적으로 심기 위한 CVE-2022-22954 익스플로잇 행위가 발견되기도 했다.

3줄 요약

1. VM웨어에서 발견되고 패치된 취약점, 아직도 공격자들은 활발하게 노리고 있음.

2. VM웨어의 플랫폼과 솔루션은 대단히 널리 사용되고 있어서 공격자들이 좋아함.

3. VM웨어의 생태계에서 로그4셸을 익스플로잇 하려는 시도도 발견되고 있음.

[국제부 문가용 기자(globoan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=106896&page=1&mkind=1&kind=1)]