상세 컨텐츠

본문 제목

MobileIron의 기업 MDM 서버, DDoS 및 정부 해커의 공격 받아

국내외 보안동향

by 알약4 2020. 10. 22. 14:00

본문

MobileIron enterprise MDM servers under attack from DDoS gangs, nation-states

 

모바일 기기 그룹을 관리하는데 사용하는 서버에서 발견된 심각한 취약점 3개에 대한 세부사항이 공개된 지 한달 후, 많은 공격자들이 중요한 기업 서버를 장악하고 회사 네트워크 내부에 침입하기 위해 이 취약점을 악용하고 있는 것으로 나타났습니다.

 

이러한 공격은 소프트웨어 제조업체인 MobileIronMDM 서버를 노리고 있었습니다.

 

MDM은 모바일 기기 관리(Mobile Device Management)의 약자입니다. MDM 시스템은 기업에서 직원의 모바일 기기를 관리하는데 사용됩니다. 시스템 관리자들은 인증서, 애플리케이션, 액세스 제어 목록을 배포하고 중앙 서버에서 도난당한 기기를 삭제할 수 있습니다.

 

이러한 기능을 적용하기 위해서는 MDM 서버가 항상 온라인 상태여야 하며, 인터넷을 통해 연결이 가능해야 직원들이 전화기기에서 회사로 보고하고 최신 업데이트를 받을 수 있습니다

 

MobileIron MDM에서 발견된 주요 취약점 3

 

올 여름 초, 보안 연구원인 Orange TsaiMobileIronMDM 솔루션에서 주요 취약점 3개를 발견했습니다. 그는 이를 제조사에 전달했으며, 이 취약점은 7월 패치되었습니다.

 

 

<이미지 출처: https://www.mobileiron.com/en/blog/mobileiron-security-updates-available>

 

 

Tsai는 이 취약점 3건에 대한 자세한 정보를 공개하지 않았기 때문에 회사에서는 시스템을 업데이트 할 시간을 벌 수 있었습니다.

 

그럼에도 많은 회사는 업데이트를 하지 않았습니다. Tsai는 지난 9월 결국 이 취약점 3건에 대한 자세한 내용을 공개했습니다. 그는 페이스북의 버그 바운티 프로그램에 참여하여 페이스북의 MDM 서버를 해킹하고 회사의 내부 네트워크에 침투했습니다.

 

GitHubPoC 공개된 후 악용 시작돼

 

하지만 Tsai의 블로그 게시물 또한 의도하지 않은 결과를 낳았습니다. 다른 보안 연구원들이 그의 블로그에서 얻은 세부 정보를 통해 3가지 취약점 중 가장 위험한 CVE-2020-15505에 대한 PoC 공격을 만든 것입니다.

 

PoC 익스플로잇은 GitHub에 공개되었으며 다른 보안 연구원들과 침투 테스터들 뿐 아니라 그리고 공격자들도 사용이 가능해졌습니다.

 

GitHubPoC가 공개되고 며칠이 지나자 이를 악용한 실제 공격이 이어졌습니다.

 

첫 번째 공격은 10월 초 발견됐으며, RiskIQ 연구원들이 이를 감지했습니다.

 

RiskIQ의 연구원들이 이 공격에 대한 세부정보를 공개하지 않았기 때문에 아직까지 많은 내용이 밝혀지지 않았습니다.

 

하지만 MDM 서버가 DDoS 악성코드에 감염되는 것이 최악의 경우가 아닙니다.

 

오늘 미국 NSA는 중국 정부의 지원을 받는 해커가 최근 몇 달 동안 가장 많이 악용한 취약점 탑 25 목록에 MobileIron CVE-2020-15505 취약점을 올렸습니다.

 

NSA는 중국의 공격자들이 다른 많은 취약점과 MobileIron 취약점을 함께 사용하여 인터넷에 연결된 시스템에 침투하기 위한 초기 발판을 마련하고 내부 네트워크를 활보했다고 밝혔습니다.

 

기업 내 패치 필요해

 

MobileIron은 포튠 500 기업을 포함한 20,000곳 이상에서 MDM 솔루션을 사용한다고 밝혔습니다. 따라서 이는 올해 공개된 취약점 중 가장 위험한 것이 될 가능성이 높습니다.

 

설치 범위가 매우 방대하기 때문에 MobileIron MDM 서버는 가까운 미래에 공격을 받을 가능성이 높다고 볼 수 있습니다.

 

하지만 현재 이 취약점을 패치한 회사는 절반에 불과합니다. 기업에서는 MobileIron MDM 서버, 모바일 기기, 내부 네트워크에 대한 점검을 실시해야 합니다.

 

CVE-2020-15505 취약점은 게이트웨이 취약점으로 간주될 수 있기 때문입니다.

 

악용될 경우 침입자는 이 취약점을 악용해 MDM 서버 전체를 점령해 해당 MDM 서버에 연결된 모바일 기기 전체에 악성코드를 배포하거나 MDM서버가 연결된 기업의 내부 네트워크에 접근할 수 있게 됩니다.

 

 

 

 

출처:

https://www.zdnet.com/article/mobileiron-enterprise-mdm-servers-under-attack-from-ddos-gangs-nation-states/

https://blog.orange.tw/2020/09/how-i-hacked-facebook-again-mobileiron-mdm-rce.html

https://www.mobileiron.com/en/blog/mobileiron-security-updates-available


관련글 더보기

댓글 영역