공격자들, SonicWall의 치명적인 RCE 취약점 활발히 악용해

Attackers now actively targeting critical SonicWall RCE bug

 

지난달 패치된 SonicWall의 SMA(Secure Mobile Access) 게이트웨이에 영향을 미치는 치명적인 취약점이 활발히 악용되고 있는 것으로 나타났습니다.

 

Rapid7의 수석 보안 연구원인 Jacob Baines가 발견한 이 취약점은 인증되지 않은 스택 기반 버퍼 오버플로우로 CVE-2021-20038로 등록되었습니다.

 

이 취약점은 SMA 100 시리즈 어플라이언스(SMA 200, 210, 400, 410, 500v 포함)에 영향을 미치며, 심지어는 웹 애플리케이션 방화벽(WAF)이 활성화된 경우에도 마찬가지입니다.

 

악용이 성공할 경우 인증되지 않은 원격 공격자가 해킹된 SonicWall 어플라이언스에서 'nobody' 사용자로 코드를 실행할 수 있습니다.

 

SonicWall은 지난 12월 CVE-2021-20038에 대한 보안 업데이트를 공개한 후, "해당 취약점의 영향을 받는 고객일 경우 가능한 빠른 시일 내 패치를 적용할 것을 권장한다”고 밝혔습니다.

 

하지만 당시 버그가 실제 공격에서 악용되었다는 증거는 찾지 못했다고 밝혔습니다.

 

하지만 금일, NCC 그룹의 수석 보안 컨설턴트인 Richard Warren은 공격자들이 현재 실제 공격에서 해당 취약점을 악용하려 시도하고 있다고 말했습니다.

 

또한 Warren은 공격자들이 알려진 SonicWall 어플라이언스의 기본 패스워드를 브루트포싱 하는 방식을 시도하고 있다고도 덧붙였습니다.

 

그는 오늘 트위터를 통해 "일부 공격은 CVE-2021-20038(SonicWall SMA RCE)을 악용하려 시도합니다. 또한 지난 며칠간 기본 패스워드를 브루트포싱하는 암호 스프레이 공격도 발생했습니다. 기본 패스워드를 업데이트 및 변경하는 것을 잊지 마시기 바랍니다.”라 밝혔습니다.

 

하지만 그는 BleepingComputer와의 인터뷰에서 아래와 같이 밝혔습니다.

 

"제가 보기에 이 취약점은 성공적으로 보이지는 않습니다.”

 

"이 익스플로잇을 악용하려면 엄청난 요청(예: 백만 건)을 보내야 합니다. 이들은 그저 행운을 바라고 있거나 익스플로잇을 이해하지 못할 것입니다."

 

 

지금 당장 패치해 공격을 방어하세요

 

지속적인 공격은 아직까지 성공하지 못했지만, SonicWall 고객이라면 SMA 100 어플라이언스를 패치하여 해킹 시도를 차단하는 것이 좋습니다.

 

SMA 100 사용자는 MySonicWall.com 계정에 로그인하여 이 SonicWall PSIRT 권고에 설명된 버전으로 펌웨어를 업그레이드하는 것이 좋습니다.

 

펌웨어 업그레이드 방법에 대한 지원은 이 기술 자료를 참조하거나 SonicWall 지원팀에 문의하시기 바랍니다.

 

SonicWall SMA 100 어플라이언스는 지난 2021년 초부터 랜섬웨어를 포함한 여러 캠페인의 타깃이 되었습니다.

 

그 예로, SMA 100 제로데이 취약점인 CVE-2021-20016은 2021년 1월부터 FiveHands 랜섬웨어 배포 및 SonicWall의 내부 시스템을 노린 공격에 악용되었습니다. 약 두 달 후인 2021년 2월 말에는 해당 취약점이 패치되기 전 실제 공격에서 무차별적으로 악용되었습니다.

 

지난 7월, SonicWall은 패치되지 않은 단종된 SMA 100 시리즈 및 Secure Remote Access 제품을 노리는 랜섬웨어 공격의 위험도가 증가하고 있다고 경고했습니다. 하지만 CrowdStrike, Coveware 보안 연구원 및 CISA는 HelloKitty 랜섬웨어 운영자가 이미 SonicWall 어플라이언스를 노리고 있다고 경고했습니다.

 

215개국의 500,000명 이상의 비즈니스 고객이 전 세계적으로 SonicWall 제품을 사용하고 있으며, 그 중 많은 제품이 정부 기관 및 세계 최대 규모 기업의 네트워크에서 사용되고 있습니다.

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/attackers-now-actively-targeting-critical-sonicwall-rce-bug/

https://twitter.com/buffaloverflow/status/1485671824725786633

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0026