글로벌 애플리케이션전송네트워킹(ADN) 전문 업체 F5네트웍스의 애플리케이션 관리 솔루션 'BIG-IP'에서 심각한 취약점이 발견됐다.
회사는 보안 패치를 배포했다. 그러나 이후 해당 취약점을 악용한 해커 공격이 등장했다.
■심각도 10/10…원격으로 시스템 제어 가능
BIG-IP는 웹 트래픽 조절, 로드 밸런서, 방화벽, 액세스 게이트웨이, 속도 제한, SSL 미들웨어 등 다양한 기능을 지원하며 공공, 기업 네트워크와 데이터센터 내에 사용되고 있다. F5네트웍스의 주요 제품군 중 하나다. F5네트웍스에 따르면 BIG-IP는 미국 경제지 포츈이 선정한 50대 기업 중 48곳이 사용 중이다.
F5네트웍스는 이번 취약점에 대해 포지티브테크놀로지스 보안 연구원인 미하일 클류치니코프로부터 보고받았다. 이후 보안 권고사항과 보안 패치를 지난 1일 배포했다.
발견된 취약점의 공통보안취약점공개항목(CVE) 번호는 'CVE-2020-5902'로 지정됐다. 이 취약점은 공격자가 원격 접근해 시스템을 제어할 수 있게 해준다. 심각도는 10점 만점에 10점으로 평가됐다. 이는 공격 벡터와 공격 난이도, 필요 권한, 기밀성, 완전성, 유효성 등을 고려해 평가된 수치다.
미국지디넷은 사물인터넷(IoT)용 검색 엔진 '쇼단'으로 검색해본 결과 8천400여개의 BIG-IP 사용 기기가 온라인에 연결돼 있다고 지적했다.
■취약점 발표 3일만에 공격 발견…기업 대상 공격 키울 듯
BIG-IP가 널리 사용되고 있는 점, 취약점의 심각도가 높게 평가된 점 등으로 보안 조치가 시급하다는 여론이 조성됐다. 이에 미국 사이버사령부는 이 취약점에 대한 보안 패치가 시급하다고 지난 4일 경고했다.
해당 취약점이 공개될 당시에는 이를 악용한 사례가 확인되지 않았다. 그러나 미국 사이버사령부의 경고 이후 몇 시간 뒤 NCC 그룹 보안 연구원 리치 워렌이 이 취약점을 악용한 공격을 발견했다.
워렌은 BIG-IP로 보이게 위장한 허니팟에서 이번 공격을 탐지했다. 허니팟은 원본과 유사한 가짜 시스템으로 해커의 공격을 유도해 공격 배후를 추적하기 위한 장치다.
워렌에 따르면 공격은 5개 IP 주소에서 시도됐다. 공격자는 허니팟에 접근해 다양한 파일들을 읽고, JSP 파일을 이용해 관리자 암호 및 설정 폐기와 같은 명령을 실행하려 했다.
관련기사
- 카카오 개발자가 본 '요즘 클라우드 흐름' 세 가지2019.07.21
- 2분기 랜섬웨어 공격 16.3만건…감소세 지속2020.07.06
- 랜섬웨어 해커, '카르텔'까지 등장했다2020.06.05
- 영국 경찰, 보안 메신저 해킹…범죄자 수백명 체포2020.07.06
미국지디넷은 "지난 8월부터 해킹 그룹들은 펄스시큐어 VPN과 시트릭스 네트워크 게이트웨이의 원격코드실행(RCE) 버그를 악용해 백도어, 랜섬웨어 등의 공격을 기업 네트워크에 시도해왔다"며 "BIG-IP에서 발견된 취약점도 이와 비슷한 유형"이라고 분석했다.
그러면서 랜섬웨어를 유포하는 해킹 그룹들이 글로벌 대기업 공격을 위해 이런 종류의 버그에 크게 의존하는 것으로 알려져 있다며, 업계에서는 BIG-IP 취약점이 이런 공격 행태를 늘리게 될 것으로 평가하고 있다고 언급했다.
