야후 해킹과 배시버그 취약점의 관계는?
10월 6일, Jonathan Hall이 작성한 블로그 포스트에 따르면, 해커그룹이 최근 발견된 배시 버그 쉘쇼크(Bash Bug Shellshock) 취약점을 이용하여 야후, 라이코스, 윈집 서버에 침투한 정황을 포착했다고 발표했습니다. Jonathan Hall은 해커였으나 현재 화이트 해커로 전향하였으며, 엔지니어, 조사원 및 컨설턴트를 겸직하고 있습니다.
Hall은 IRC 채널에서 실마리를 찾던 도중, WinZip서버가 알려지지 않은 해커에 의하여 손상된 정황을 포착했습니다. 조사 결과, WinZip cgi-bin 디렉토리에 IRC DDoS를 위한 perl 스크립트가 있는 것을 확인했습니다. Hall에 따르면, 이는 Shellshock취약점을 이용해야만 감염이 가능합니다. 그러나 그들은 일반적으로 데이터 유출이나 DDoS어택 보다는 Shell 접근에 목적을 둔 것 같아 보인다고 밝혔으며, 발견 후에 해당 perl스크립트를 죽이고, WinZip과 FBI에 침투당한 사실을 알렸다고 말했습니다.
이 후 IRC채널을 지속적으로 모니터링한 결과, 해커그룹이 WinZip서버 뿐만 아니라, 라이코스와 야후의 서버들에도 침투한 사실을 확인했습니다. 또한 그들끼리 루마니아어를 사용한다는 것을 밝혔으며, 두 대의 야후 서버를 완전히 점령했고, 회사 네트워크의 나머지 부분에도 접근을 시도하려는 사실을 확인했습니다.
Hall은 야후, 라이코스, 윈집에 모두 해당 사실을 알렸으며, 이 중에서 야후만 취약점 및 해킹 사실에 대하여 확인했습니다. 라이코스와 윈집은 아직 해킹 사실을 확인하지 못한 것으로 확인된다고 밝혔습니다.
이에 야후 CISO인 Alex Stamos는 Hall의 주장에 반박하는 입장을 보였습니다. Stamos는 야후 스포츠 API 서버 3대가 해커들이 배포한 ‘Shellshock 취약점을 가진 웹 서버들을 찾는 악성코드’에 감염된 것은 사실이지만, 해당 악성코드가 Shellshock 취약점 때문에 일어난 것은 아니라고 밝혔습니다. 또한 공격자들은 IDS/IDP 또는 WAF필터를 우회하려고 한 것으로 보이며, 해당 방식은 야후의 스포츠 팀이 그들의 웹 로그를 분석 및 디버깅할 때 사용하는 모니터링 스크립트의 커맨드 인젝션 버그에 맞게 적용이 되도록 만들어졌다고 말했습니다.
또한 이번 이슈에 대해 야후의 몇몇 서버만 한정적으로 감염되었으며, 해당 서버들을 격리시킨 후 모든 공격코드에 대한 종합적인 추적을 실시한 결과, 이번 사건의 근본적인 원인이 Shellshock이 아닌 것을 확인했다고 밝혔습니다.
자료 및 이미지 출처 :
http://www.techworm.net/2014/10/shellshock-breach-yahoo-and-winzip-servers-hacked.html
http://threatpost.com/yahoo-confirms-infected-servers-unrelated-to-shellshock/108726
CVE-2014-4114 취약점 공격의 진화 (1) | 2014.10.24 |
---|---|
SSLv3 'POODLE' 취약점 주요 정보 (0) | 2014.10.17 |
신종 배쉬 버그(Bash Bug) 취약점, 지속적으로 발생중 (0) | 2014.10.06 |
[해외보안동향] 샤오미, 개인정보 무단수집 의혹 받아 (0) | 2014.08.14 |
[해외보안동향] '나는 악성코드가 아니에요' 중국서 어이없는 악성코드 등장 (0) | 2014.08.07 |
댓글 영역