엘라스틱서치 클러스터 노리는 공격자들 늘어나고 있다

CVE-2014-3120과 CVE-2015-1427 취약점이 문제의 핵심
현재까지의 분석 결과 중국 해커들과의 희미한 연관성 드러나

[보안뉴스 문가용 기자] 시스코 탈로스(Cisco Talos) 팀이 제대로 보안 장치가 갖춰지지 않거나 설정이 제대로 되어 있지 않은 엘라스틱서치(Elasticsearch) 클러스터를 노리는 사이버 공격이 최근 급증하고 있다고 경고했다.

[이미지 = iclickart]

이 공격의 핵심은 1.4.2 및 이전 버전의 취약점들을 익스플로잇 해서 스크립트를 실행해 멀웨어를 드롭하는 것이다. 이 때 멀웨어는 주로 암호화폐 채굴 소프트웨어라고 한다. 공격자들이 주로 노리는 취약점은 CVE-2014-3120과 CVE-2015-1427이다. 둘 다 오래된 취약점들로, 검색 쿼리로 스크립트를 전송할 수 있게 해준다.

개중에서 활발하게 움직이는 공격자들은 CVE-2015-1427 취약점을 통해 두 개의 주력 페이로드를 설치하는 데 집중한다고 탈로스 팀은 설명한다. 이 페이로드 두 개는 전부 같은 배시 스크립트를 다운로드 하는 기능을 가지고 있다. 탈로스 팀은 “결국 같은 기능을 가진 페이로드를 두 개나 운영하는 것으로 보아 공격 성공을 위해 치밀하게 움직이는 것으로 보인다”고 설명한다.

배시 스크립트는 보안 장치들을 비활성화시키고, 동시에 다른 악성 프로세스를 종료시키는 기능을 담당한다. “보통은 다른 채굴 멀웨어가 있는지 확인하고 삭제하는 걸 말합니다. 이 컴퓨터는 나만 채굴용으로 사용하겠다는 의지죠.” 그런 후에는 authorized_keys 파일에 멀웨어의 RSA 키를 삽입한다. 그렇게 지속적인 공격(채굴) 기반을 확보한 후 채굴 멀웨어를 다운로드 받는다.

정확히는 UPX로 압축된 ELF 실행파일이 다운로드 된다. 이 파일 안에는 여러 다양한 시스템에서 원격 코드 실행을 가능하게 하는 취약점들에 대한 익스플로잇이 들어 있다. 이 취약점들은 다음과 같다.
1) 드루팔(Drupal)의 CVE-2018-7600
2) 오라클 웹로직(Oracle WebLogic)의 CVE-2017-10271
3) 스프링 데이터 커먼스(Spring Data Commons)의 CVE-2018-1273
이 익스플로잇들은 주로 HTTPS를 통해 작동한다.

또 다른 단체도 눈에 띈다고 탈로스 팀은 계속해서 경고한다. 이 그룹의 경우 CVE-2014-3120 취약점을 익스플로잇 해서 빌 게이츠와 관련된 디도스 공격형 멀웨어를 퍼트린다고 한다.

한 단체 역시 CVE-2014-3120 취약점을 익스플로잇 하는데, 그 목적은 LinuxT라는 이름의 파일을 HTTP 파일 서버로부터 다운로드 받는 것이다. 이 파일은 현재 해당 서버에 호스팅되어 있지 않은 상태다. 탈로스 팀은 이 파일이 스파이크 트로이목마(Spike Trojan)의 변종일 가능성이 높다고 보고 있다. 공격 대상이 되는 시스템은 x86, MIPS, ARM 아키텍처라고 한다.

“그런데 간혹 LinuxT를 다운로드 하려는 호스트들이 echo 'qq952135763'라는 명령을 실행시키는 페이로드를 드롭하는 것이 발견됐습니다. 이 명령은 중국의 인기 높은 소셜 미디어 사이트인 QQ의 한 계정을 참조하는 것으로 보입니다.”

그러나 탈로스 팀은 공격자들이 운영하는 것으로 보이는 QQ 계정을 찾아낼 수 없었다. 다만 중국판 깃허브라고 불리는 기티(Gitee)에서 공격자의 것으로 보이는 페이지와 중국의 해킹 포럼인 xiaoqi7의 계정 하나를 찾는 데에는 성공했다.

공격자는 더 있다. CVE-2015-1427 취약점을 익스플로잇 하려는 단체로, 위에서 언급된 echo 'qq952135763' 명령과 echo '952135763' 명령 모두를 실행하는 페이로드를 드롭했다. 그러나 LinuxT를 다운로드 하려는 시도는 발견되지 않았다. 그 외에도 엘라스틱서치 클러스터를 겨냥한 공격 단체는 세 개 이상이 추가로 발견됐다. 다만 이들은 익스플로잇을 통해 멀웨어를 전달하려고 하지 않았다.

“엘라스틱서치 클러스터에 저장된 데이터의 방대함과 민감성을 고려했을 때, 이런 식의 공격이 이어지는 건 필연적으로 발생할 수밖에 없는 일이었습니다. 게다가 이런 데이터베이스의 관리 실태도 그리 좋지 않죠. 하지만 공격에 당할 경우 피해가 심각할 수 있으니 사용자들은 최신화와 환경설정을 다시 한 번 점검하시기를 권장합니다.”

또한 탈로스 팀은 검색 쿼리를 통해 스크립트를 전송할 수 있게 해주는 옵션을 비활성화 할 것을 추가로 권고하기도 했다.

3줄 요약
1. 유출 사고 자주 일어나던 엘리스틱서치 클러스터, 집중적인 공격 대상 되고 있다.
2. 많은 공격자들이 두 가지 취약점을 집중적으로 노리고 있음. 둘 다 오래된 것임.
3. 클러스터의 최신화 서두르고, 일부 스크립트 전송 옵션 비활성화 시키는 것이 안전.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)