얼마 전 공개된 조호 제품의 취약점, 이미 익스플로잇 되는 중

매니지엔진 데스크톱 센트럴에서 발견된 CVE-2020-10189
익스플로잇 성공한 공격자들, 멀웨어 심거나 추가 취약점 익스플로잇 이어가

[보안뉴스 문가용 기자] 최근 조호(Zoho)의 매니지엔진 데스크톱 센트럴(ManageEngine Desktop Central) 솔루션에서 발견된 취약점이 이미 실제 공격에 활발히 악용되고 있다는 소식이다. 매니지엔진 데스크톱 센트럴은 엔드포인트 관리 솔루션이다.

[이미지 = iclickart]

이 솔루션은 서버, 랩톱, 데스크톱, 모바일 장비를 관리하는 데에 특화되어 있는 것으로, 패치와 소프트웨어, OS를 설치하고 관리하며, 소프트웨어 사용 통계를 내고, 원격 장비 제어를 가능케 해주는 종합 관리 도구라고 할 수 있다. 조호에 의하면 약 1000개의 고객사가 조호를 사용하고 있다고 하며, 쇼단으로 검색할 경우 2300개가 넘는 인스턴스들이 발견되고 있다.

이 취약점을 제일 먼저 공개한 건 소스 인사이트(Source Incite)라는 보안 업체의 스티븐 실리(Steven Seeley)다. 그는 이 취약점이 “원격에서 익스플로잇 가능하며, 성공할 경우 임의 코드 실행을 할 수 있게 해준다”고 공개했다. 실리는 조호가 보안 전문가들에게 우호적이지 않다면서 패치를 준비하기도 전에 미리 세상에 공개해버렸다.

문제의 취약점은 CVE-2020-10189이며, 조호는 주말 동안 10.0.479라는 업데이트 버전을 배포했다. 하지만 사용자의 패치 적용이 아직 전부 이뤄진 것이 아니며, 이에 따라 여러 익스플로잇 활동들이 실제로 발견되고 있는 것이다. 조호 측은 이러한 소식에 보안 권고문을 따로 발표하기도 했다.

다른 보안 전문가와 회사들도 CVE-2020-10189에 대한 익스플로잇 시도를 여러 개 적발했고, 그에 따른 침해지표를 공개하기도 했다.

레콘 인포섹(Recon Infosec)이라는 보안 업체의 에릭 카푸아노(Eric Capuano)는 트위터를 통해 “공격자들은 이 취약점을 통해 멀웨어를 심고 있다”고 경고했다. “제가 발견한 멀웨어의 경우는 svchost라는 프로세스를 겨냥한 것입니다. 공격자의 실력이 대단히 높아 보이지는 않지만 충분한 피해를 입힐 정도의 실력을 가진 건 분명해 보입니다.”

또 다른 보안 업체 에얼리언볼트(AlienVault)의 경우 자사 블로그를 통해 “CVE-2020-10189 취약점을 익스플로잇 하는 공격자들이 최근 시트릭스(Citrix) 제품군에서 발견된 취약점인 CVE-2019-19781을 추가로 익스플로잇 하려고 했다”고 알리기도 했다. 시스코 라우터의 취약점인 CVE-2019-1653을 익스플로잇 하려는 시도도 있었다고 한다.

마이크로소프트의 한 전문가(bk라는 트위터 이름을 사용 중)는 트위터를 통해 CVE-2020-10189 취약점 익스플로잇을 언급하며 “주로 바륨(Barium)과 윈티(Winnti)라는 중국의 해킹 단체와 관련이 있다”고 주장했다. “하지만 바륨과 윈티가 모든 것의 배후에 있다고 결론을 내리기는 힘듭니다. 왜냐하면 해커들의 공격 수법이나 도구는 다른 해킹 그룹에 의해 곧잘 모방되기 때문입니다.” bk의 설명이다.

실리가 이 취약점을 패치 전에 공개한 직후 여러 보안 전문가들이 “공격자들에게 있어 꽤나 유용한 취약점”이라고 경고한 바 있다. 특히 추가 멀웨어를 심거나 정찰 활동을 통해 주요 정보를 훔쳐가는 데에 활용될 수 있다는 점이 지적됐다.

3줄 요약
1. 얼마 전 한 보안 전문가가 트위터 통해 공개한 조호의 취약점, 실제 공격에 활용되는 중.
2. 멀웨어 심고, 정보 빼가는 등 다양한 종류의 공격 시도가 이어지고 있음.
3. 중국의 바륨과 윈티라는 해킹 그룹의 흔적이 발견되기도 함.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)