NEWS

HOME

SECURITY NEWS

[보안뉴스] 인기 온라인 포럼 앱 브이불레틴에서 치명적인 취약점 나와
  • 관리자
  • |
  • 2031
  • |
  • 2019-09-27 19:06:00
이번 주 익스플로잇 코드와 함께 패치보다 빠르게 공개된 치명적 취약점
패치가 이틀만에 나오긴 했으나, 해커들은 이미 취약점 익스플로잇 하는 중


[보안뉴스 문가용 기자] 인기 높은 온라인 포럼 애플리케이션인 브이불레틴(vBulletin)에서 발견된 취약점을 겨냥한 공격이 점점 퍼져가고 있다는 소식이다. 패치가 나온 상태이지만 공격은 더 거세지는 중이라고 한다.

[이미지 = iclickart]


문제의 취약점은 이번 주 월요일에 발견된 제로데이 취약점(발견 당시 기준)으로, 브이불레틴 5.x 버전에 영향을 주고 있는 것으로 나타났다. 이 취약점을 익스플로잇 할 경우, 정상적인 관리자가 실시할 수 있는 것처럼 공격자들도 원격에서 아무 명령이나 실행할 수 있게 된다. 즉, 공격자가 관리자로 둔갑한다는 것이다.

이 취약점은 치명적인 위험도를 가진 것으로 평가되었으며, CVSS 기준 9.8점을 받았다. 공격자는 또 다른 관리자가 되어 멀웨어를 드롭하고, 네트워크에서 횡적으로 움직이며, 데이터를 훔치거나 사용자를 감시하는 등의 갖가지 악성 행위를 할 수 있게 된다.

이 취약점을 최초로 파악해낸 건 한 익명의 보안 전문가인 것으로 알려져 있다. 이 인물은 취약점 익스플로잇 코드도 함께 공개했다. 브이불레틴 측에 미리 알리지 않은 상태에서 취한 행위로 보인다. 또한 취약한 브이불레틴 앱이 실행되고 있는 서버를 빠르게 검색해서 찾아내는 방법도 공개했다.

브이불레틴은 온라인 포럼을 웹사이트에 쉽게 구성하도록 만드는 앱으로, 전 세계 수많은 웹사이트들이 실제로 사용하고 있다. 소니(Sony), 나사(NASA), EA, 징가(Zynga) 등 유명 업체들에도 구축되어 있다. 브이불레틴은 취약점 소식이 있자마자 패치 개발에 착수해 수요일 밤부터 배포하기 시작했다.

하지만 이미 이 취약점을 활용한 공격이 발생하기 시작했다. 보안 업체 임퍼바(Imperva)에 의하면 “취약점이 공개되고서 몇 시간 지나지 않아 실제 공격이 시작됐다”고 밝혔다. “목요일 아침 기준, 1만 번 이상의 익스플로잇 시도를 탐지했습니다. 공격자들 사이에서는 취약한 소프트웨어를 자동으로 검색해주는 스크립트가 공유되고 있더군요.”

URL 매개변수들이 포럼 소프트웨어 내 위젯 파일로 전달되고 접수되는 과정에서 취약점이 발생한다고 임퍼바는 설명한다. “아무런 보안 점검 없이 매개변수가 그대로 전달됩니다. 악성 공격자가 이를 활용할 경우, 원격에서 코드를 실행할 수 있게 됩니다.”

제로데이 버그를 사들이는 사업 모델을 가지고 있어 논란의 대상이 되고 있는 보안 업체 제로디움(Zerodium)의 CEO인 샤우키 베크라(Chaouki Bekrar)는 “이 버그의 존재에 대해 최소 3년 전부터 알고 있었다”고 트위터를 통해 말하기도 했다. “일종의 백도어로서 활용이 가능한 취약점이라고 볼 수 있습니다.”

또 다른 보안 업체 테너블(Tenable)의 경우에도 이 위협에 대한 분석을 따로 실시했고 “즉각적인 조치가 필요한, ‘피해자의 시스템에 모든 걸 심을 수 있게 해주는’ 취약점”이라는 결론을 내렸다. 최초로 공개된 익스플로잇 코드 역시 잘 작동한다는 걸 확인하기도 했다.

테너블의 라이언 세구인(Ryan Seguin)은 “브이불레틴은 호스트에서 셸 스크립트를 실행시킬 수 있다는 점이 특히 문제가 된다”고 지적한다. “브이불레틴 서비스 계정을 제대로 보호하지 않는다면, 공격자가 네트워크 전체로 진입할 발판을 확보할 수 있게 됩니다. 그리고 브이불레틴을 통해 네트워크 전체에 랜섬웨어를 퍼트리거나, 중요한 트래픽을 가로채는 등의 행위를 할 수 있게 됩니다.”

이 취약점이 공격자들의 갑작스러운 사랑을 받는 데에는 또 다른 이유가 있다. 익스플로잇이 매우 쉽다는 것이다. “이미 공개된 간단한 코드만 있으면 브이불레틴 5.x 버전을 완전히 장악할 수 있습니다. 연구고 뭐고 더 할 필요도 없어요, 공격자 입장에서는.” 세구인의 설명이다.

보안 업체 이뮤니웹(ImmuniWeb)의 CEO인 일리야 콜로첸코(Ilia Kolochenko)의 경우, “브이불레틴 취약점을 통해 다양한 자동화 해킹 공격과 웹서버 백도어 캠페인이 활성화될 수도 있다”고 내다본다. “취약한 버전의 브이불레틴이 설치된 웹 서버라면, 공격자가 완전 장악을 할 수 있게 됩니다. 그리고 그것을 발판으로 네트워크 내 모든 시스템들에 대한 통제권을 가져갈 수 있고요. 거기서부터는 관리자의 크리덴셜을 재사용하거나, 고급 스피어피싱 공격을 진행하거나, 포럼 페이지를 멀웨어로 감염시키거나, 포럼 사용자들의 시스템을 침해할 수 있게 됩니다. 이 작은 구멍 하나로 대대적인 상황이 발생할 수 있다는 것입니다.”

콜로첸코는 “이런 가능성을 주요 해킹 단체들이 놓칠 리가 없다”고 경고했다. “익스플로잇은 쉽고, 공격 파급력은 높은, 대단히 이상적인 취약점입니다. 패치를 적용하지 않는 서버를 빠르게 찾아내, 자신들의 공격력을 증폭시키려 할 것입니다. 브이불레틴 사용자라면 최대한 빠른 시간 안에 취약점을 패치해야 합니다.”


3줄 요약

1. 전 세계적인 인기를 누리고 있는 포럼 앱, 브이불레틴.

2. 이번 주 치명적인 브이불레틴 취약점이 갑자기 공개됨.

3. 익스플로잇 쉽고, 공격 효과 높아서 벌써부터 실제 공격에 활용됨.


[국제부 문가용 기자(globoan@boannews.com)]
[출처: 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=83301&page=1&mkind=1&kind=1]
이전글 [보안뉴스] 암호화폐 가치 증가로 ‘크립토재킹’ 공격 급증
다음글 [보안뉴스] iOS 장비들 강제 탈옥시킬 수 있는 익스플로잇 공개돼
비밀번호 입력
비밀번호
확인
비밀번호 입력
비밀번호
확인
TOP