협업 및 생산성 플랫폼은 늘 공격자들의 관심을 받는다. 그런 플랫폼 중 하나인 아틀라시안 컨플루언스에서 제로데이 취약점 공격이 발견됐다. 패치가 아직 나오지 않은 상태라 사용자들은 인터넷 연결을 컨플루언스 플랫폼으로부터 분리해내야 한다.

[보안뉴스 문가용 기자] 아틀라시안 컨플루언스(Atlassian Confluence)라는 유명 소프트웨어에서 발견된 초고위험도 취약점이 현재 해킹 공격에 적극 활용되는 중이다. 문제의 취약점은 CVE-2022-26134로, 공격자들은 이를 익스플로잇 함으로써 피해자의 서버에 침투하고 시스템 전체를 장악할 수 있게 된다고 한다.

[보안뉴스 / 6.6.] 유명 협업 플랫폼인 아틀라시안 컨플루언스에서 제로데이 공격 진행 중

[이미지 = utoimage]

CVE-2022-26134는 일종의 명령 주입 취약점으로, 승인 과정을 통과하지 않은 공격자가 원격에서 코드를 실행할 수 있게 해 준다. 컨플루언스 서버(Confluence Server)와 컨플루언스 데이터 센터(Confluence Data Center) 모든 버전들에 영향을 주며, 사용자 크리덴셜을 미리 훔쳐내거나, 사용자의 특정 행위를 유도하지 않아도 익스플로잇이 가능하다. 공격자가 특수하게 조작한 웹 요청을 컨플루언스 시스템으로 보내기만 하면 된다. 다만 아틀라시안 클라우드(Atlassian Cloud) 사이트들에는 아무런 영향이 없다.

컨플루언스는 원격 사무 및 생산성 플랫폼으로 각종 프로젝트 관리 및 협업 활성화에 사용된다. 그렇기 때문에 프로젝트와 관련된 중요 데이터, 사용자 계정, 자원, 서버, 시스템을 다양하게 호스팅 하고 있다. 뿐만 아니라 기업 내 여러 자원과 서버, 시스템과도 통합되는 것이 보통이다. 그런 컨플루언스이니 침투에 성공할 경우 공격자들은 생각보다 많은 자원과 시스템에 도달할 수 있게 된다. “이런 종류의 취약점을 익스플로잇 하면 공격자들은 대단히 민감한 시스템, 정보, 네트워크에 접근할 수 있게 됩니다.” 보안 업체 볼렉시티(Volexity)의 설명이다.

문제는 아직 패치가 나오지 않았다는 것이다. 이 때문에 보안 전문가들은 모든 컨플루언스 서버들에 대한 외부 접근 권한과 방법들을 전부 제거하라고 권고했다. 패치가 나오기 전까지는 그런 식으로 관리를 해 두어야 안전하다는 것이다. 아틀라시안은 보안 권고문을 통해 픽스를 서둘러 개발하고 있다고 발표했다.

이러한 문제를 제일 먼저 찾아낸 보안 업체 볼렉시티는 “공격자들이 이 취약점을 익스플로잇 함으로써 인터랙티브한 웹셸을 만들 수 있고, 이를 통해 공격을 지속시키는 백도어를 서버에 마련할 수 있다”고 설명한다. 그런 후 공격자들은 “비하인더(Behinder)라는 임플란트를 서버에 심은 것”으로 조사됐다. 비하인더는 오픈소스 도구로, 메모리 층위에서만 실행되는 웹셸 임플란트를 생성하는 데 사용된다. 미터프리터(Meterpreter) 및 코발트 스트라이크(Cobalt Strike)와 같은 해킹 도구들과도 호환성이 좋다.

공격자들은 비하인더를 통해 두 개의 웹셸을 피해자의 시스템에 심고 있다고 볼렉시티는 경고했다. 하나는 차이나 초퍼(China Chopper)이며, 다른 하나는 공격자들이 스스로 만든 커스텀 파일 업로드 셸이다. 차이나 초퍼는 10년도 넘은 공격 도구로, 공격자들은 차이나 초퍼를 통해 웹 서버에 지속적으로 접근할 수 있게 된다. 이용 난이도가 낮은 것으로 알려져 있으며, 기능도 준수해 공격자들 사이에서 꾸준한 인기를 누리고 있다.

여기까지 성공한 공격자들은 여러 개의 명령들을 피해자의 시스템에서 실행시킨다. 시스템 정보를 다운로드 받거나 비밀번호가 저장된 곳을 찾아내기 위한 명령을 주로 먼저 실행시키고, 그 다음으로는 로컬 데이터베이스에 저장된 정보를 훔치거나 웹 접근 로그를 변경시키기도 한다. 볼렉시티는 이러한 공격 행위가 한두 개의 해킹 조직의 전유물일 가능성은 낮다고 보고 있다. “더 많은 조직들 사이에서 알려진 공격 기법일 가능성이 높습니다. 그렇게 생각하는 이유들도 있고, 그에 맞는 증거들도 조금씩 발견되고 있는 상황입니다.”

컨플루언스 침해, 어떻게 막아야 하는가?
이러한 공격에서 스스로를 보호하려면 어떻게 해야 할까? 컨플루언스 서버와 컨플루언스 데이터 센터 인스턴스들을 비활성화하고 외부 접근 경로를 차단하는 것이 1순위로 해야 할 일이다. IP 주소 화이트리스팅도 실시하여 신뢰할 만한 곳에서부터 접근할 수 있도록 설정하는 것 역시 필요한 일이다. 자바 비직렬화 규칙을 추가하여 원격 코드 실행 주입 공격으로부터 웹 애플리케이션 방화벽을 보호하는 것도 좋은 방법이라고 한다. 당연하지만 네트워크 내 비정상적인 행위들을 모니터링하는 것도 중요하다.

보안 업체 테너블(Tenable)의 수석 엔지니어인 사트남 나랑(Satnam Narang)은 “이렇게 웹셸과 관련된 취약점들은 패치만으로 모든 것이 해결되지 않는다”고 강조한다. “취약점은 웹셸을 심기 위한 통로가 될 뿐입니다. 그 다음부터 공격자들이 공격에 활용하는 건 웹셸이지 취약점이 아닙니다. 그러니 취약점을 패치했다고 해도 이미 웹셸이 시스템에 심겨져 있다면 계속 위험에 노출될 수밖에 없습니다. 패치를 했다고 하더라도 웹셸을 찾아 제거하는 작업이 이어져야 합니다.”

볼렉시티는 다음과 같은 권고 사항들을 제안한다.
1) 인터넷에 직접 연결된 웹 서비스들을 대상으로 한 모니터링 기능을 강화한다. 로깅에 관한 정책도 광범위하게 확장한다.
2) 정확한 로그 파일들을 인터넷에 직접 연결된 웹 서버들로부터 SIEM 혹은 시스로그 서버로 전송한다.
3) 의심이 가는 프로세스들이 있다면 해당 프로세스의 웹 애플리케이션 프로세스들의 차일드 프로세스들을 전부 모니터링해야 한다.

나랑은 “컨플루언스와 같은 생산성 및 협업 플랫폼은 항상 공격자들의 관심을 받는다”고 경고하며 “이상 징후가 있었던 없었던 모든 사용자 기업들이 확실하게 취약점은 물론 현재의 네트워크 상태를 점검해야 한다”고 경고한다. “보다 능동적인 자세로 방어를 해야 합니다. 컨플루언스의 영향력을 생각하면 이는 당연한 일입니다.”

3줄 요약
1. 아틀라시안 컨플루언스에서 발견된 취약점, 공격자들이 이미 익스플로잇.
2. 패치는 아직 나오지 않은 상태라, 컨플루언스의 외부 연결을 끊어내는 것이 안전.
3. 취약점 익스플로잇에 성공할 경우 공격자가 피해자 시스템을 통제할 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>