MS의 익스체인지 서버 노리는 공격자들, 아직 사라지지 않았다

입력 : 2021-08-24 20:59

익스체인지 서버 사태가 지금까지도 이어지고 있다. 5월에 나온 패치를 제대로 적용하지 않고 있기 때문이다. 일부에서는 MS가 좀 더 목소리를 크게 내야 한다는 비판도 나오고 있다. 아무튼 지금이라도 패치하면 늦지 않을 수 있다.

[보안뉴스 문가용 기자] 올해는 아무래도 MS 익스체인지 서버의 해가 될 모양이다. MS 익스체인지 서버와 관련된 미국 정부 기관의 경고가 주말 동안 다시 한 번 등장했다. 경고를 통해 미국 사이버 보안 전담 기관인 CISA는 “공격자들이 패치가 되지 않은 MS 익스체인지 서버를 익스플로잇 하는 중”이라며 “조속한 패치가 요구되고 있다”고 촉구했다.


8월 내내 보안 업체 헌트레스(Huntress)는 “공격자들이 프록시셸(ProxyShell)이라고 알려진 MS 익스체인지 서버 취약점을 공격적으로 익스플로잇 하고 있다”고 경고했었다. 헌트레스에 의하면 공격자들은 프록시셸 취약점을 익스플로잇 한 뒤 백도어를 심고 있다고 했는데, 이 프록시셸 취약점은 8월 6일 익스플로잇 코드가 공개되면서 공격자들의 관심이 폭발적으로 늘어났다고 한다. 지난 주 금요일 밤에는 약 1900개의 미패치 익스체인지 서버에서 140개의 웹셸이 발견되기도 했다. 현재까지 피해 단체는 식품, 제조, 자동차 수리, 소규모 항공 업체 등이라고 한다.

먼저 헌트레스의 보안 전문가인 존 하몬드(John Hammond)는 지난 주 “공격자들이 프록시셸을 익스플로잇 해서 록파일(LockFile)이라는 랜섬웨어를 유포하는 중”이라고 경고했었다. 하지만 공격자들이 가장 많이 사용하고 있는 건 웹셸들이라고 한다. 헌트레스의 블로그에 따르면 가장 많이 사용되는 웹셸들은 현재 다음과 같다.
1) XSL Transform
2) Encrypted Reflected Assembly Loader
3) Comment Separation and Obfuscation of the “unsafe” Keyword
4) JScript Base64 Encoding and Character Typecasting
5) Arbitrary File Uploader

헌트레스의 블로그(https://www.huntress.com/blog/rapid-response-microsoft-exchange-servers-still-vulnerable-to-proxyshell-exploit)에 접속하면 위 웹셸들에 대한 상세 정보를 열람할 수 있다.

프록시셸 익스플로잇이 처음 공개된 건 8월 초 미국에서 진행된 블랙햇(Black Hat)에서였다. 데브코어(Devcore)의 연구원인 오렌지 차이(Orange Tsai)라는 인물이 강연을 통해 알리면서였다. 그리고 1주일 뒤 이 정보를 입수한 자들의 익스플로잇 시도가 준비되고 있다는 듯, 쇼단에서 익스체인지 서버를 스캔하는 행위가 급증하기 시작했다. 당시 약 3만 대의 익스체인지 서버가 취약한 상태였다.

MS는 이미 5월 정기 패치를 통해 이 취약점을 고친 바 있다. 패치는 여기(https://msrc.microsoft.com/update-guide/releaseNote/2021-May)서 확인이 가능하다. 하지만 일부 보안 전문가들은 “MS가 프록시셸 취약점의 위험성이 그리 높지 않다는 뉘앙스로 패치를 권고하고 있기 때문에 사용자들이 패치를 하지 않는 것”이라고 비판한다. 고객들에게 사실을 명확히 알릴 의무가 있는데, 그걸 저버리고 있다는 것.

어찌됐든 지금이라도 패치를 하면 안전하다는 게 CISA의 입장이다. CISA는 프록시셸이라는 이름이 붙은 취약점을 다음과 같은 순서로 패치할 것을 권고하고 있다.
1) CVE-2021-34473
2) CVE-2021-34523
3) CVE-2021-31207

3줄 요약
1. MS 익스체인지 서버에서 발견된 프록시셸 취약점, 활발히 익스플로잇 되는 중.
2. 취약점 통해 공격자들은 주로 6가지 종류의 웹셸을 심고 있는 중.
3. 지금이라도 MS 5월 정기 패치 통해 프록시셸 해결해야 안전.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 2

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 3

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 4

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 5

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...