아파치 스트럿츠(Struts)가 원격코드실행(RCE) 취약점을 품은 것으로 드러났다. 스트럿츠는 국내외서 널리 쓰이는 자바 웹애플리케이션용 오픈소스 프레임워크다. 이를 사용 중인 다수 웹서버 개발자와 운영자에게 취약점이 해결된 새 버전 업데이트가 요구된다.
한국인터넷진흥원(KISA) 보호나라 인터넷침해대응센터(KrCERT/CC)는 지난 7일 보안공지를 통해 아파치 스트럿츠 RCE 취약점(CVE-2017-5638)에 대응한 최신 버전 업데이트를 권고했다.
취약점은 파일 업로드 수행시 HTTP 요청 헤더 내용을 변조해 RCE가 가능해지는 것으로 요약됐다. 스트럿츠의 자카르타 기반 멀티파트 파서가 Content-Type 값을 처리하는 과정에 문제가 있었다.
[☞참조링크: 보안공지
시스코가 지난 8일 탈로스인텔리전스 블로그를 통해 제시한 분석에 따르면 공격자는 취약점을 이용해 해당 웹서버가 리눅스 기반인지, 어떤 서비스를 구동하는지, 어떤 권한으로 동작 중인지 파악한 뒤 더 복잡한 공격 명령을 보내거나 네트워크 환경 정보 수집을 시도하는 것으로 나타났다.
[☞원문: Content-Type: Malicious - New Apache Struts2 0-day Under Attack]
스트럿츠 프레임워크 2.3 버전대(2.3.5~2.3.31)와 2.5버전대(2.5~2.5.10) 기술을 사용한 자바 웹애플리케이션이 이 취약점에 노출돼 있다. 인용된 아파치 스트럿츠 보안게시판 공지사항에 따르면 취약점은 2.3.32와 2.5.10.1 이후 버전 업데이트로 해결할 수 있다.
[☞원문: S2-045 - Apache Struts 2 documentation - Apache Software Foundation]
업데이트를 수행할 수 없을 경우 콘텐츠 유형에 엄격한 필터링을 적용하거나, common-fileupload-x.x.x.jar 파일을 삭제하는 방법도 있다. 다만 해당 파일을 삭제하면 업로드 기능을 쓸 수 없게 된다.
공지사항에 따르면 최신 업데이트를 적용했더라도 후속 조치를 해 두는 게 낫다. Content-Type 유효성을 검증하고 'multipart/form-data' 형식에 맞지 않는 값으로 전달된 요청은 배제하는 서블릿 필터를 만들라는 조언이다.
IT미디어 디인콰이어러는 13일 "취약점이 공개된 이래 이를 악용하려는 시도가 주초부터 목격되고 있다"는 SANS인터넷스톰센터(SANS ICS)와 시스코 탈로스 측 보안연구자의 분석을 인용 보도했다. 취약점이 비교적 공격에 이용하기가 쉬워, 공개된지 1주가 지나면서 이를 이용한 공격이 확대 추세라는 진단이다.
[☞원문: Apache Struts 2 zero-day is being exploited in the wild]
그러나 일부 국내 매체 보도에 따르면 스트럿츠 취약점은 이미 이달초 중국에서 활발해진 것으로 추정되는 한국 인터넷 대상 사이버공격에 이용됐다. 중국 해커그룹이 이 취약점을 공격하는 자동화툴을 만들어 취약점이 존재하는 국내 웹서버를 찾아 공격 중인 것으로 파악됐다.
관련기사
- '중국발 사드 보복' 명분 내건 사이버공격 확산2017.03.14
- "사이버위협, 웨어러블부터 클라우드까지"2017.03.14
- "악성코드광고·좀비IoT기기…사이버공격 더 거세진다"2017.03.14
- 대량정보유출 유발 웹서버 해킹 1.5배↑2017.03.14
[☞관련기사: '중국발 사드 보복' 명분 내건 사이버공격 확산]
[☞데일리시큐 9일자 보도: [긴급] 중국 해커들, Struts2 자동화 공격툴과 공격방법 공유중…주의]