상세 컨텐츠

본문 제목

Apache Struts 취약점 CVE-2018-11776을 악용한 실제 공격 발견 돼

국내외 보안동향

by 알약(Alyac) 2018. 8. 29. 16:56

본문

Active Attacks Detected Using Apache Struts Vulnerability CVE-2018-11776


지난 주, 한 보안 연구원들이 Apache Struts에 존재하는 취약점을 공개한 후 공격자들이 이 취약점을 적극적으로 악용하기 시작한 것으로 나타났습니다.


문제의 취약점은 CVE-2018-11776으로, 공격자가 Struts 기반 웹 프로그램의 제어권을 얻을 수 있도록 하는 원격 코드 실행 결점입니다.


Palo Alto Networks 측의 분석에 따르면 이 취약점은 디폴트 Struts 구성에서는 악용될 수 없지만, Struts는 Equifax를 포함한 세계 최대 규모의 기업들 중 일부가 사용하고 있기 때문에 이 취약점에 대한 관심이 뜨겁습니다.


지난 주, PoC 다수 공개 돼


지난 주 동안, 여러 보안 연구원들이 CVE-2018-11776의 PoC 스크립트 다수 및 단계별 튜토리얼을 만들어 공개했습니다.


이 PoC중 하나는 이전의 Struts 원격 코드 실행 결점과 결합시키는 올인원 Struts 악용 툴킷에 포함 되었습니다.

많은 PoC와 Struts 해킹 툴이 공개 되었지만, 공격은 즉시 일어나지는 않았습니다.


보안 회사인 Greynoise Intelligence와 Volexity측에서는 지난주부터 공격자들이 Struts 서버를 스캔하는 것은 탐지했지만, 악용 시도는 찾을 수 없었다고 밝혔습니다.



첫 번째 공격, 어제 시작 돼


Volexity의 보안 연구원인 Matthew Meltzer는 “우리가 발견한 첫 번째 악용 시도는 어제인 8월 27일 이었습니다.”


“우리는 지리적으로 광범위하게 분산 되어있는 다양한 대상에 대한 스캔 및 악용 시도를 관찰했습니다.”고 밝혔습니다.


Greynoise 측에서는 192.173.146.40, 202.189.2.94, 182.23.83.30, 95.161.225.94 4개의 IP에서 이 취약점을 악용하려는 시도가 있었다고 밝혔습니다. 전문가들은 이들이 동일한 봇넷의 일부분이라 추측했습니다.


또한 Volexity 측에서도 95.161.225.94, 167.114.171.27 IP에서 일부 스캔이 발생했다고 밝혔습니다. 이 두 IP 모두 많은 인터넷 스캐닝 작업의 근원지로 알려져 있습니다.


Meltzer는 “이 IP주소들이 지난해 활발히 스캔을 진행한 것을 보았습니다.”고 밝혔습니다.



공격자들, 코인마이너로 서버 공격해


악용 시도를 분석 결과, Volexity의 연구원들은 이 공격의 정확한 특성을 알아낼 수 있었다고 밝혔습니다.


이들은 스캔을 수행한 그룹이 CVE-2018-11776를 악용하여 Struts 앱에 침투해 서버를 BitBucket 저장소에서 다운로드한 CNRig 가상화폐 마이너에 감염시키려 시도했다고 밝혔습니다.


현재, 이 공격은 다른 취약점을 스캐닝하는 공격에 비해서는 규모가 작습니다.


연구원들은 광범위 공격은 아직까지 발견할 수 없었다고 밝혔습니다.


그 이유는, 디폴트 구성을 사용하는 Struts 앱은 CVE-2018-11776에 취약하지 않기 때문에 취약한 서버의 수가 다소 적기 때문에 공격자들이 광범위 공격에 노력할 이유는 없기 때문입니다.



공격자들, 이전 Struts 결함 활발히 스캐닝 해


공격자들이 CVE-2018-11776에 그다지 많은 관심을 보이지는 않지만, 예전에 발견 된 Struts 결점들에 더욱 관심을 보이고 있는 것으로 보입니다.


연구원들은 “CVE-2018-11776의 PoC 코드 공개 이후, 예전 Struts 결함을 찾는 스캐닝도 함께 증가하고 있습니다.”라고 밝혔습니다.


Struts기반 앱을 패치하고자 한다면, CVE-2013-2251, CVE-2017-5638, CVE-2017-9805 등의 예전 취약점들의 패치도 함께 적용하는 것이 좋습니다.


가장 최근 발견 된 Struts 결점인 CVE-2018-11776은 버전 2.3 ~ 2.3.34 및 2.5 ~ 2.5.16에 영향을 미치는 것으로 알려져 있습니다. Apache Struts 팀은 2.3.35 및 2.5.17 버전에서 이 문제를 해결했습니다. 





출처 :

https://www.bleepingcomputer.com/news/security/active-attacks-detected-using-apache-struts-vulnerability-cve-2018-11776/

https://struts.apache.org/announce.html#a20180822-0



관련글 더보기

댓글 영역