공격자들, 치명적 취약점 악용해 오라클 서버에 Cobalt Strike 배포

Critical bug actively used to deploy Cobalt Strike on Oracle servers

 

공격자들이 CVE-2020-14882 취약점이 패치되지 않은 오라클 WebLogic 서버에 Cobalt Strike 비콘을 배포하고 있는 것으로 나타났습니다. 이를 통해 해킹된 기기에 영구적인 원격 접속 권한을 얻을 수 있게 됩니다.

 

Cobalt Strike는 합법적인 침투 테스트 툴이지만 공격자들은 이를 악용하여 작업에서 사용하기도 하고 영구적인 원격 접속 권한을 얻기 위한 비콘을 배포하는데도 사용합니다.

 

이로써 추후 해킹된 서버에 접속해 데이터를 수집하고 2단계 악성코드 페이로드를 배포할 수 있습니다.

 

랜섬웨어 공격

 

CVE-2020-14882 원격 코드 실행 (RCE) 취약점은 지난달 Oracle이 진행한 Critical Patch Update를 통해 패치되었으며 공격자들은 일주일 후 이를 이용하여 노출된 WebLogic 서버를 스캔하기 시작했습니다.

 

인증 없이도 패치되지 않은 인스턴스를 점령하도록 허용하는 CVE-2020-14750으로 등록된 무 인증 RCE 취약점 또한 긴급 보안 업데이트를 통해 패치되었습니다.

 

SANS ISC 핸들러인 Renato Marinho의 권고문에 따르면, 취약한 WebLogic 인스턴스를 노리는 최근 공격은 지난 주말 시작되었습니다.

 

공격자들은 base64로 인코딩된 Powershell 스크립트 체인을 사용해 패치되지 않은 Oracle WebLogic 서버에 Cobalt Strike 페이로드를 다운로드 및 설치합니다.

 

Cisco Talos의 사고 대응팀(CTIR)은 지난 9월 보고서를 통해 아래와 같이 언급했습니다.

 

“흥미롭게도 이번 분기에 발생한 모든 랜섬웨어의 66%가 Cobalt Strike와 관련되어 있었습니다. 이로써 랜섬웨어 공격자들이 트로이목마를 버리고 이 툴을 많이 사용하고 있다는 것을 짐작할 수 있습니다.”

 

 

<Cobalt Strike 배포>

<이미지 출처: https://isc.sans.edu/diary/26752>

 

 

최대한 빠른 시일 내 패치 필요해

 

CVE-2020-14882, CVE-2020-14750 두 취약점 모두 인증되지 않은 공격자가 취약한 WebLogic 서버를 탈취하는데 쉽게 악용할 수 있기 때문에 Oracle은 기업에 즉시 보안 업데이트를 적용해 공격을 차단할 것을 권고했습니다.

 

Oracle의 보안 보증 디렉터인 Eric Maurice 또한 블로그를 통해 WebLogic 서버 강화 지침에 대한 링크를 공유했습니다.

 

CISA 또한 관리자들에게 가능한 빠른 시일 내 보안 업데이트를 적용해 이 치명적인 취약점 2건을 해결할 것을 촉구했습니다.

 

IT 인프라 검색 엔진을 운영하는 사이버 보안 회사인 Spyse는 CVE-2020-14882에 취약한 Oracle WebLogic 서버 3,300대가 노출된 것을 발견했습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/critical-bug-actively-used-to-deploy-cobalt-strike-on-oracle-servers/

https://isc.sans.edu/diary/26752