[보안뉴스 문가용 기자] 미국 NSA가 국방부 등 국가 기관 시스템 관리자들에게 “러시아 해커들의 침해 공격에 주의하라”는 경고를 발령했다. VM웨어의 워크스페이스 원 액세스(Workspace ONE Access)에서 발견된 보안 취약점을 익스플로잇 함으로써 민감한 정보를 빼내고 있다는 게 NSA의 설명이다.

[이미지 = utoimage]

문제가 되고 있는 취약점에 대해서는 이미 VM웨어가 패치를 배포하고 있기 때문에 최대한 빨리 이를 적용하는 게 안전하다고 NSA는 촉구했다. 즉각적인 패치 적용이 어렵다면 익스플로잇에 필요한 기타 다른 요소들을 비활성화 할 수 있다는 제안도 함께 들어 있었다. 하지만 이는 임시적인 조치일 뿐이며 패치를 적용하는 것이 보다 근본적이고 안전한 대책이라고 강조하기도 했다.

문제가 되고 있는 취약점은 CVE-2020-4006이다. 명령 주입을 유발하는 취약점으로 11월 23일 VM웨어가 처음으로 공개했었다. VM웨어 워크스페이스 원 액세스뿐만 아니라 액세스 커넥터(Access Connector), 아이덴티티 매니저(Identity Manager), 아이덴티티 매니저 커넥터(Identity Manager Connector), VM웨어 클라우드 파운데이션(VMware Cloud Foundation), 뷔리얼라이즈 스위트 라이프사이클 매니저(vRealize Suite Lifecycle Manager)에서 발견됐다.

VM웨어가 픽스를 배포하기 시작한 건 12월 3일부터다. VM웨어는 CVE-2020-4006에 대해 “명령 주입 취약점”이라고 분석하며 “공격자들이 익스플로잇에 성공할 경우 악성 명령을 OS단에서 실행할 수 있게 된다”고 발표했다. 이 때 공격자들에게는 “권한 문제로 인한 제한이 없게 된다”는 내용도 포함되어 있었다.

다만 이 취약점을 성공적으로 익스플로잇 하기 위해서는 TCP/UDP 포트 8843에 접근이 이미 이뤄진 상태여야 한다. 또한 환경설정을 위한 관리자 계정이나 웹 기반 관리 인터페이스의 비밀번호도 미리 파악해 두어야 공격을 성공시킬 수 있다. 그래서 이 취약점은 CVSS 기준 7.2점(고위험군)에 그쳤다.

탐지가 어려워

NSA는 “네트워크 기반 침투 탐지 시스템으로는 이 취약점의 익스플로잇 시도를 탐지하기가 어려울 것”이라고 경고하기도 했다. 왜냐하면 암호화 된 TLS 터널 내에서 공격이 발생하기 때문이다. “취약한 인터페이스는 8443 포트를 통해서 실행됩니다. 물론 사용자의 설정 여부에 따라 다른 포트가 활용될 수도 있습니다. 포트 변경 등을 통해 인터페이스 접근을 막아둔다면 위험을 어느 정도 완화시킬 수 있습니다.”

또한 NSA는 공격자들이 웹 관리 인터페이스에 접근해 명령 주입 취약점을 활용해 웹 셸을 장비들에 설치하는 것을 발견했다고 밝혔다. 이를 통해 공격자들은 가짜 SAML 인증이 진행되도록 함으로써, 보호되어 있는 데이터에 접근할 만한 권한을 취득하는 데에까지 성공했다고 NSA는 경고했다.

“인증 과정을 직접 진행하는 제품을 실행시킬 때는 관련 서버와 모든 서비스들을 제대로 설정해야만 합니다. 특히 한 인증 시스템에 여러 장비와 솔루션들을 통합한다고 했을 때, 구축 과정에서의 환경설정의 꼼꼼한 확인은 필수적인 절차입니다.” NSA의 설명이다.

그 외에 ‘다중인증 시스템’의 도입 역시 제안되었다. 한 가지 인증 시스템을 공격자가 뚫어낸다 하더라도 다음 단계에서 막히게 하거나, 추가 자원을 투자해야만 공격이 성공할 수 있도록 하는 것이 바로 다중인증 시스템의 장점이다. VM웨어 역시 별도의 보안 권고문을 통해 패치가 어려운 고객들을 위한 위험 경감 방법들을 공개했다. 이 방법들은 리눅스 기반 장비들과 윈도 기반 서버들에 적용이 가능하다.

NSA는 이번 경고를 통해 침해지표도 공개했다. 패치 외에도 공격 시도에 대한 모니터링을 돕기 위해서다. “인증 관련 로그를 주기적으로 모니터링 함으로써 수상한 인증 시도를 파악할 수 있습니다. 특히 비정상 인증에 성공했을 경우 로그 분석을 통해 보다 쉽게 찾아낼 수 있습니다. 그러므로 외부에서의 로그인 시도들에 대해 항상 눈을 떼지 말아야 합니다.” NSA의 경고 내용이다.

3줄 요약

1. 얼마 전 VM웨어가 패치한 취약점, 러시아 해커들이 활용하고 있음.

2. 특히 CVE-2020-4006가 가장 많은 공격을 받고 있음.

3. 패치가 안 된다면 특정 인터페이스의 인터넷 연결 끊고, 다중인증 도입하고, 인증 로그 모니터링하면 어느 정도 해결 가능.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=93237&page=1&kind=1​)]​