마이크로소프트, SolarWinds Serv-U SSH 제로데이 공격 배후로 중국 해커 지목해

 

 

Microsoft Says Chinese Hackers Were Behind SolarWinds Serv-U SSH 0-Day Attack

마이크로소프트가 SolarWinds Serv-U 관리 파일 전송 서비스에 영향을 미치며 현재는 수정된 적극적으로 악용되는 심각한 보안 취약점에 대한 기술 세부 정보를 공유했습니다. 

2021년 7월에 공개된 CVE-2021-35211은 Serv-U Managed File Transfer 및 Serv-U Secure FTP에 영향을 미치는 제로데이 취약점으로 원격 공격자가 취약점 악용에 성공할 경우 권한을 갖게 되어 임의 코드를 실행할 수 있습니다. 

SolarWinds에 따르면, SSH가 활성화되지 않은 환경일 경우에는 취약점이 활성화되지 않습니다. 공격자는 열린 SSH 포트에 연결하고 잘못된 형식의 사전 인증 연결 요청을 보내 프로그램을 설치하거나 실행할 수 있습니다. 

SolarWinds 공급망 공격은 공식적으로 러시아 APT29 해커 그룹에 의한 것으로 알려졌지만 2020년 12월 마이크로소프트는 별도의 해커 그룹이 IT 인프라 제공업체의 Orion 소프트웨어를 이용하여 감염된 시스템에 Supernova라는 백도어를 설치했을 수 있다고 밝혔습니다. 

마이크로소프트는 원격 사전 인증 취약점이 Serv-U 프로세스가 액세스를 처리하는 방식에서 비롯된 것임을 밝히고 관찰된 희생자, 전술 및 절차를 바탕으로 공격을 중국에 기반을 둔 해커 그룹 DEV-0322과 연결했습니다.

악용된 취약점은 Serv-U가 처음에 OpenSSL AES128-CTR 컨텍스트를 생성한 방식으로 인해 발생합니다. 이는 차례로 SSH 메시지의 암호 해독 중에 초기화되지 않은 데이터를 함수 포인터로 사용할 수 있게 합니다. 따라서 공격자는 열린 SSH 포트에 연결하고 잘못된 형식의 사전 인증 연결 요청을 전송하여 이 취약점을 악용할 수 있습니다. 

또한 공격자는 서버에 의해 로드된 ASLR(Address Space Layout Randomization) 없이 컴파일된 DLL을 사용할 수 있습니다. ASLR은 시스템 실행파일이 메모리에 로드되는 주소, 공간, 위치를 무작위로 배열하여 버퍼 오버플로우 공격을 수행하기 어렵게 만드는 데 사용되는 보호 메커니즘입니다.

ASLR은 신뢰할 수 없는 원격 입력에 노출된 서비스에 대한 중요한 보안 완화 수단이며, Serv-U에서 가능했던 것처럼 공격자가 악용에 하드코딩된 주소를 사용하는 것을 효과적으로 방지하기 위해 프로세스의 모든 바이너리가 호환되어야 합니다. 

SolarWinds에 취약점을 보고한 마이크로소프트는 Serv-U 프로세스에 로드된 모든 바이너리에 대해 ASLR 호환성을 활성화할 것을 권장했습니다. 

 

 

출처:
https://thehackernews.com/2021/09/microsoft-says-chinese-hackers-were.html