소닉월의 이메일 보안 솔루션에서 제로데이 취약점 3개 나와

입력 : 2021-04-22 12:05

이메일 보안 솔루션인 ES에서 취약점이 발견됐다. 공격자들이 제일 먼저 이를 알아차리고 이미 피해를 일으키고 있다고 한다. 소닉월 측은 부랴부랴 패치를 배포했고, CISA도 패치 적용을 촉구하고 있다.

[보안뉴스 문가용 기자] 보안 업체 소닉월(SonicWall)이 자사 이메일 보안 제품에서 발견된 제로데이 취약점을 긴급하게 패치했다. 이미 공격자들이 활발하게 익스플로잇을 하고 있었다고 한다. 제로데이 취약점은 총 세 가지였다.


문제가 된 소프트웨어는 ‘소닉월 이메일 시큐리티(SonicWall Email Security(ES)’로, 바깥으로 나가는 이메일과 안으로 들어오는 이메일 모두를 보호하는 기능을 가지고 있다. 랜섬웨어나 기업 메일 침해 공격 등으로부터 조직을 보호하는 솔루션인데 이번에는 오히려 공격의 통로가 된 것이다.

이러한 상황을 제일 먼저 파악해 알린 건 보안 업체 파이어아이(FireEye)로, “취약점 세 개가 연쇄적으로 익스플로잇 되면 공격자들이 관리자 접근 권한을 가지고 코드를 실행할 수 있게 된다”고 설명한다. “공격자들은 소닉월의 보안 제품에 대한 지식도 해박한 것으로 보입니다. 이들은 이 제품에 백도어를 심고, 각종 파일에 접근하며, 횡적으로 움직였습니다.”

셋 중 가장 심각한 취약점은 CVE-2021-20021로 CVSS 기준 9.4점을 받았다. 공격자가 관리자 계정을 만들 수 있게 해 준다. 공격자가 조작된 HTTP 요청을 원격 호스트에 보내기만 하면 익스플로잇이 가능하다고 한다. 그 외에 CVE-2021-20022의 경우, 임의 파일 업로드 취약점으로 6.7점을 받았다. CVE-2021-20023은 임의 파일 읽기 취약점이며, 역시 6.7점을 받았다.

이 취약점들을 전부 익스플로잇 할 경우 공격자는 1) 소닉월 장비에 새로운 관리자 계정을 만들고, 2) 이를 통해 현존하는 관리자 계정의 비밀번호를 알아낼 수 있으며, 3) 임의의 디렉토리에 웹셸을 생성해 지속적인 접근을 할 수 있게 된다고 한다. 파이어아이는 이러한 사실을 3월 26일 소닉월 측에 알렸다. 패치는 4월 9일과 19일에 나왔다. 윈도 사용자라면 10.0.9.6173 Hotfix 버전으로, 하드웨어 및 ESXi 가상장비 사용자라면 10.0.9.6177 Hotfix 버전으로 업그레이드 해야 한다.

이 취약점들이 실제 공격에 활용되고 있다고 하는데, 공격 단체와 피해 조직 모두 아직은 밝혀지지 않고 있다. 다만 파이어아이는 “공격자가 누군지 몰라도 소닉월 이메일 보안 제품에 대해 상세히 알고 있는 자”라고 설명했다.

어제는 소프트웨어 개발사인 이반티(Ivanti)의 제품인 펄스 커넥트 시큐어(Pulse Secure Connect)에서 제로데이 취약점이 발견되었고, 이를 공격자들이 이미 익스플로잇 하고 있다는 소식이 있었다. 이 상황 역시 파이어아이가 발견해 회사에 알렸고, 두 회사가 같이 패치 개발과 배포를 진행했다.

VPN 솔루션의 경우, 코로나 때문에 사용자가 급격히 늘어난 상황이라 국가 기관인 CISA까지 나서 업데이트를 촉구했었다. 또한 이 사건의 배후에는 중국 해커가 있을 가능성이 높은 것으로 분석됐다.

CISA는 소닉월 이메일 보안 솔루션 업데이트에 대한 안내와 보안 경고문도 발표했다.

3줄 요약
1. 소닉월의 이메일 보안 솔루션에서 제로데이 취약점이 3개 나옴.
2. 이미 공격자들이 파악해 악용하고 있었음.
3. 3개 익스플로잇 하면 공격자들이 관리자 권한을 가진 계정을 생성할 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  제로트러스트 도입·확산 시범사업, 어떻게 진...

• 3

  ‘2024년도 ICT 중소기업 정보보호 지원...

• 4

  웹3 게임 개발자들, 암호화폐 노리는 피싱 ...

• 5

  이반티 보안 취약점 악용한 5개 공격그룹 ...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 5

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...