¡®ÀÎÁõ ¿ìȸ Ãë¾àÁ¡¡¯À̶õ ¹«¾ùÀϱî? ÀÌ´Â ¾ÇÀÇÀûÀÎ °ø°ÝÀÚ°¡ º¸¾È ¸ÞÄ¿´ÏÁòÀ» ¿ìȸÇÏ°í ½Ã½ºÅÛÀÇ ÀÎÁõ ÀýÂ÷¸¦ ȸÇÇÇØ ±ÇÇÑÀ» ȹµæÇÒ ¼ö ÀÖ´Â °æ·Î¸¦ Á¦°øÇÏ´Â Ãë¾àÁ¡À» ¸»ÇÑ´Ù. ÀÌ·¯ÇÑ Ãë¾àÁ¡Àº API ¿À¿ë, ÀÎÁõ ¹× Á¢±Ù Á¦¾î °áÇÔ, º¸¾È ¼³Á¤ ¹ÌÈí µîÀÇ °áÇÔÀ¸·Î ÀÎÇØ ¹ß»ýÇÑ´Ù. °ø°ÝÀÚ´Â À̸¦ ¾Ç¿ëÇØ Ãʱ⠾׼¼½º ±ÇÇÑÀ» ¾ò°Å³ª ¹Î°¨ Á¤º¸ Å»Ãë µîÀÇ °ø°ÝÀ» ¼öÇàÇÒ ¼ö ÀÖ´Ù.
Á¦Æ®ºê·¹ÀÎÀÌ °³¹ßÇÑ CI/CD ¼¹ö ¼Ö·ç¼Ç ÆÀ½ÃƼ(TeamCity)¿¡¼ 2023³â¿¡ Ãë¾àÁ¡(CVE-2023-42793)ÀÌ ¹ß°ßµÆ´Ù. ¡®CVE-2023-42793¡¯ °ø°Ý »ç·Ê¸¦ »ìÆ캸¸é ¶óÀڷ罺(Lazarus) °è¿ APT ±×·ìÀÎ È÷µç ÄÚºê¶ó(Hidden Cobra)°¡ ÀÖ´Ù. ºÏÇÑ¹ß APT °ø°Ý±×·ì È÷µç ÄÚºê¶ó´Â Áö³ÇØ 10¿ù¿¡ CVE-2023-42793 Ãë¾àÁ¡À¸·Î ¼¹ö¿¡ Á¢±ÙÇÑ ÈÄ ÆÄ¿ö¼Ð(Powershell)À» ÅëÇØ Forest64.exe¿Í 4800-84DC-063A6A41C5C ÆäÀ̷ε带 ´Ù¿î·ÎµåÇÏ°í, ¶óÀڷ罺¿¡¼ ¼öÇàÇÏ´Â DeathNote Ä·ÆäÀÎÀÇ Æ÷·¹½ºÆ®Å¸ÀÌ°Å(ForestTiger) ¹éµµ¾î¸¦ »ç¿ëÇØ LSASS ÇÁ·Î¼¼½º¿¡ ´ëÇÑ ¸Þ¸ð¸® ÀÚ°Ý Áõ¸íÀ» ´ýÇÁÇØ µ¥ÀÌÅ͸¦ À¯ÃâÇÑ´Ù.
CVE-2023-42793 ÀÌÈÄ ¿ÃÇØ ¹ß°ßµÈ CVE-2024-27198ÀÇ Ãë¾àÁ¡À» ºÐ¼®ÇغôÙ. CVE-2024-27198Àº ½Ã½ºÅÛ ¸®¼Ò½º¿¡ Á¦ÇÑ ¾øÀÌ Á¢±ÙÀÌ °¡´ÉÇÑ RCE(¿ø°ÝÄÚµå ½ÇÇà) °ø°ÝÀÌ °¡´ÉÇϱ⠶§¹®¿¡ °íÀ§Çè Ãë¾àÁ¡¿¡ ¼ÓÇÑ´Ù.
1Â÷ °ø°ÝÀÇ PoC Äڵ带 È®ÀÎÇØ º¸¸é GetTeamCityVersion() ÇÔ¼ö¿¡¼ ¿äû URL¿¡ Á¸ÀçÇÏÁö ¾Ê´Â ÀÓÀÇÀÇ °æ·Î(/hax)¸¦ »ç¿ëÇØ /app/rest/server·Î Á¢±ÙÀ» ½ÃµµÇÏ°í ÀÖ´Ù. ¿äû ¶óÀÎÀÇ URLÀ» PoC ÄÚµå¿Í °°ÀÌ Á¸ÀçÇÏÁö ¾Ê´Â °æ·Î(/hax)·Î º¯°æÇÏ°Ô µÇ¸é /app/rest/server ÆäÀÌÁö¿¡ Á¢±ÙÀÌ °¡´ÉÇØ ¼¹öÀÇ ¹öÀü Á¤º¸°¡ ³ëÃâµÈ´Ù.
PoC Äڵ带 ÅëÇÑ 2Â÷ °ø°ÝÀ» ´Ü°èº°·Î »ìÆìºÃ´Ù. ù ¹ø° ´Ü°è´Â ¡®°ü¸®ÀÚ °èÁ¤ »ý¼º¡¯ÀÌ´Ù. ÀÌ Ãë¾àÁ¡Àº Á¸ÀçÇÏÁö ¾Ê´Â °æ·Î·Î Á¢±ÙÇßÀ» ¶§ ÀÎÁõÀÌ ¿ìȸµÈ´Ù´Â Á¡À» ¾Ç¿ëÇØ REST API ¿£µåÆ÷ÀÎÆ®¸¦ ´ë»óÀ¸·Î °ø°ÝÀÚÀÇ Á¦¾î°¡ °¡´ÉÇÑ °ü¸®ÀÚ °èÁ¤À» »ý¼ºÇÑ´Ù. ÀÌ´Â GetToken() ÇÔ¼ö·Î »ç¿ëÀÚÀÇ ÅäÅ«À» »ý¼ºÇÒ ¶§ »ç¿ëµÈ´Ù.
µÎ ¹ø° ´Ü°è´Â ¡®¾Ç¼º Ç÷¯±×ÀÎ Á¦ÀÛ¡¯ÀÌ´Ù. GetEvilPluginZipFile() ÇÔ¼ö´Â Faker ¶óÀ̺귯¸®¸¦ »ç¿ëÇØ °¡Â¥ Á¤º¸¸¦ »ý¼ºÇϱâ À§ÇÑ °´Ã¼¸¦ ÃʱâÈ ¹× cmd ÆĶó¹ÌÅ͸¦ °®´Â jsp À¥½© Äڵ带 »ý¼ºÇØ ÀÓÀÇÀÇ .jar ÆÄÀÏÀ» Á¦ÀÛÇÑ´Ù.
¼¼ ¹ø° ´Ü°è´Â ¡®¾Ç¼º Ç÷¯±×ÀÎ ¾÷·Îµå¡¯´Ù. °ü¸®ÀÚ¸¸ Á¢±Ù °¡´ÉÇÑ Ç÷¯±×ÀÎ ¾÷·Îµå ÆäÀÌÁö¿¡ °ü¸®ÀÚ °èÁ¤ÀÇ ÅäÅ« °ªÀ» ÀÌ¿ë, À¥ ½©ÀÌ Æ÷ÇÔµÈ ¾Ç¼º Ç÷¯±×ÀÎ ¾÷·Îµå°¡ °¡´ÉÇÏ´Ù.
³× ¹ø° ´Ü°è´Â ¡®¿ø°Ý ÄÚµå ½ÇÇà(RCE) ¹ßÇö¡¯ÀÌ´Ù. ¾Ç¼º Ç÷¯±×ÀÎ ¾÷·Îµå È帧µµ¿¡¼ °ü¸®ÀÚ °èÁ¤ÀÇ ÅäÅ«À» ÀÌ¿ë, Ç÷¯±×ÀÎ ¾÷·Îµå ÈÄ Ç÷¯±×ÀÎÀÇ °æ·Î¿¡ Á¢±ÙÇØ RCE°¡ °¡´ÉÇÏ°Ô µÈ´Ù. PoC Äڵ忡¼ È®ÀÎÇØ º¸¸é ExecuteCommandByEvilPlugin()¿¡¼´Â ¸ÞÀÎ ÇÔ¼ö¿¡ ÀÖ´Â shell_url°ú command¸¦ ÀÌ¿ë, POST ¿äûÀ» »ý¼ºÇÏ°í cmd ÆĶó¹ÌÅÍ¿¡ ¸í·É¾î¸¦ ÀÎÄÚµù ¹× Àü´ÞÇØ ¿ø°Ý ¸í·É¾î ½ÇÇàÀÌ °¡´ÉÇÏ°Ô µÈ´Ù.
¡®CVE-2023-42793¡¯ ¹× ¡®CVE-2024-27198¡¯ Ãë¾àÁ¡¿¡ ´ëÀÀÇÒ ¼ö ÀÖ´Â ¹æ¹ýÀº ¹«¾ùÀϱî? ù ¹ø°·Î ¾÷µ¥ÀÌÆ®°¡ Áß¿äÇÏ´Ù. ¸ðµç ¼ÒÇÁÆ®¿þ¾î¿¡ ´ëÇÑ ÃֽŠ¹öÀü ¹× º¸¾È ¾÷µ¥ÀÌÆ®¸¦ Àû¿ëÇÏ´Â °ÍÀÌ °¡Àå Áß¿äÇϱ⿡ ÃֽŠ¹öÀüÀÎ 2023.11.4.·Î ¾÷µ¥ÀÌÆ® ÁøÇàÀ» ±Ç°íÇÑ´Ù.
µÎ ¹ø°·Î º¸¾È ÆÐÄ¡ Ç÷¯±×ÀÎ Àû¿ëÀÌ´Ù. Ç÷¯±×ÀÎÀº ZIP Ç÷¯±×ÀÎ ÆÐÅ°Áö¸¦ [TeamCity ¼³Ä¡ µð·ºÅ͸®]/plugins °æ·Î¿¡ º¹»çÇØ ¼³Ä¡ ÈÄ ·Îµå¸¦ ¼±ÅÃÇØ È°¼ºÈÇÏ´Â °ÍÀ¸·Î ¼öµ¿ ¼³Ä¡¸¦ ÇÒ ¼ö ÀÖ´Ù.
[Á¦ÀÛ=¼¿ï¿©ÀÚ´ëÇб³ Á¤º¸º¸È£Çаú Á¦21´ë Çлýȸ Ç÷¡±×]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>