NEWS

HOME

SECURITY NEWS

[보안뉴스] 소포스 XG 방화벽의 제로데이, 공격자들은 미리 알고 있었다
  • 관리자
  • |
  • 2101
  • |
  • 2020-04-28 15:56:13

 

소포소의 방화벽에서 나온 SQL 주입 취약점...이미 공격자들의 손에 농락
25일 핫픽스 발표돼...얼른 적용해야 문제 해결되고 침해 여부까지 알 수 있어


[보안뉴스 문가용 기자] 보안 업체 소포스(Sophos)가 자사 방화벽 제품에서 제로데이 취약점이 발견됐다고 주말 동안 고객들에게 알렸다. 이 취약점은 실제 공격자들에 의해 익스플로잇이 돼 멀웨어가 퍼지고 있었다고 설명한 소포스는, 패치 또한 개발이 완료됐다고 알렸다. 

[이미지 = iclickart]


소포스의 발표에 의하면 문제의 제품은 XG 파이어월(XG Firewall)이며, 공격에 대해 처음 알게 된 건 4월 22일이라고 한다. 장비의 관리자 인터페이스에서 수상한 필드 값이 발견되면서였다. 조사를 해보니 전에 알려지지 않은 SQL 주입 취약점을 공격자들이 먼저 발견해 익스플로잇 하고 있었고, 이를 통해 인터넷에 노출된 물리 방화벽과 가상 방화벽을 해킹하고 있었다. 이미 여러 고객사들이 표적이 된 상태였다고 한다.

공격자들은 관리자 서비스와 관련이 있는 시스템이나 사용자 포털을 겨냥하는 것으로 분석됐다. 제로데이 취약점을 통해 멀웨어를 설치한 후 방화벽으로부터 데이터를 빼내는 것이 공격 목적이다. 주로 사용자 이름, 비밀번호 해시, 포털 관리자, 원격 접근을 위해 만들어진 사용자 계정과 같은 정보가 노려졌다. 뿐만 아니라 방화벽 장비에 저장된 계정의 이메일 주소나 IP 주소 배당 권한과 관련된 정보를 유출시키는 기능도 멀웨어에서 발견됐다.

“AD나 LDAP와 같은 외부 인증 시스템들의 비밀번호들은 안전합니다.” 소포스가 고객들에게 보낸 내용 중 일부이다. 그러면서 4월 25일 핫픽스를 발표했다. 설치 및 적용하면 취약점이 해결될 뿐만 아니라 방화벽 침해 여부도 알려준다고 한다.

또한 소포스는 자사 블로그를 통해 공격자들이 SQL 주입 취약점을 익스플로잇 해서 방화벽에 한 줄짜리 명령어를 방화벽 데이터베이스에 삽입했다고 알리기도 했다. 이 명령은 Install.sh라는 리눅스 셸 스크립트를 다운로드 하는 기능을 가지고 있었고, Install.sh는 추가 SQL 명령어들을 실행하고 추가 파일을 가상 파일 시스템으로 옮겼다고 한다. 그 외에 다른 스크립트들을 다운로드 하고 실행함으로써 장비가 리부트 되더라도 공격이 재시작할 수 있게끔 했다.

소포스의 블로그에 따르면 “Install.sh 스크립트는 여러 개의 Postgres SQL 명령어들을 실행함으로써 데이터베이스 내 특정 테이블들의 값을 수정하거나 삭제하는데, 주로 관리자 IP 주소와 관련된 것들에 영향을 준다”고 한다. “아마도 공격이 진행되고 있음을 감추기 위한 것으로 보이는데, 이 때문에 사용자 인터페이스에 공격자가 주입한 명령행이 노출되기도 했습니다. 주소가 있어야 할 곳에 명령어가 노출된 것입니다.”

소포스 측은 이번 공격에 사용된 멀웨어에 아스나로크(Asnarok)라는 이름을 붙였다. 아직 아스나로크 배후의 세력에 대해서는 알 수 없다. “이번 공격은 여러 개의 리눅스 셸 스크립트를 연쇄적으로 사용했다는 특징을 가지고 있습니다. 이 스크립트들을 정교하게 오케스트레이션 하여 결국에는 ELF 바이너리를 다운로드 받아 설치하는 것이죠. 이 바이너리는 방화벽용 OS에서 실행되도록 컴파일링 되어 있습니다.”

소포스는 이번 취약점 및 익스플로잇 공격에 대한 보안 권고문을 발표하며, 해커들이 방화벽을 넘어서 로컬 네트워크에까지 침투했다는 증거가 나오지 않고 있다고 주장했으나, 얼마 지나지 않아 해당 문장을 삭제했다. 삭제 이유에 대해서는 명확히 밝히지 않고 있다. 하지만 이후 추가 블로그 게시글을 통해 방화벽으로부터 공격자들이 수집한 정보가 실제 외부로 유추되었다는 증거가 없다고 주장했다.

또한 소포스는 침해지표와 공격의 기술 세부 사항을 발표하기도 했다. 이 내용은 여기(https://news.sophos.com/en-us/2020/04/26/asnarok/)서 참조가 가능하다. 소포스 방화벽 사용자들로서는 방어 강화를 위해 위에 언급된 핫픽스를 설치해 침해 여부를 확인하고, 패치를 적용하며, 비밀번호를 변경해야 한다고 소포스는 권고했다.


3줄 요약
1. 소포스의 방화벽 제품에서 제로데이 취약점 발견됨.
2. 게다가 이 제로데이를 누군가 이미 익스플로잇 하고 있었음.

3. 공격자는 제로데이 통해 방화벽 내 정보를 훔쳐가고 있었음. 누군지는 모름.


Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)] 

[https://www.boannews.com ,​ https://www.boannews.com/media/view.asp?idx=87876&page=1&mkind=1&kind=1​]

 

 
이전글 [보안뉴스] BEC 공격 단체, 회사들 속여 130만 달러 가로채
다음글 [보안뉴스] 산업 통제 시스템을 모니터링하는 도구에서 디도스 취약점 발견돼
목록
비밀번호 입력
비밀번호
확인
비밀번호 입력
비밀번호
확인
TOP