해커들이 최근 발견된 스프링프레임워크 내 원격코드실행(RCE) 취약점인 '스프링4셸'을 악용해, 봇넷 악성코드를 배포하고 감염시킨 것으로 확인됐다.
글로벌 사이버보안업체 트렌드마이크로는 8일(현지시간) 이 같은 내용의 스프링4셸(CVE-2022-22965) 취약점 악용 분석 보고서(☞원문)를 공개했다.
스프링은 자바 기반 애플리케이션 개발을 빠르고 효율적으로 진행할 수 있게 지원하는 오픈소스 프레임워크다. 지난달 30일 보안연구원들이 스프링 프레임워크에 RCE 취약점이 있다는 사실을 확인하고, 높은 위험도를 경고하기 위해 '스프링4셸'로 이름 붙였다.
이번 보고서에 따르면 트렌드마이크로 연구원들은 4월초부터 스프링4셸 취약점을 적극적으로 악용하는 공격 행위를 발견했다. 공격자들는 취약점을 통해 미라이 봇넷 샘플을 '/tmp' 폴더에 다운로드하고, 'chmod'를 사용해 권한을 변형 후 실행시켰다.
미라이는 IP 카메라나 라우터 같이 스마트 홈 사물인터넷(IoT) 기기를 표적으로 삼아, 봇넷(악성코드에 감염된 좀비 기기) 네트워크에 연결시키는 리눅스 악성코드다. 감염된 IoT 봇넷들은 대규모 피싱 공격, 암호화폐 채굴, 분산서비스거부(DDoS) 공격에 사용된다.
미라이 봇넷 운영자들이 발빠르게 스프링4셸 취약점을 악용해 봇넷 악성코드를 무기화하고 실행한 사례가 확인된 것이다.
보고서는 "악의적인 행위자가 특히 싱가포르 지역의 취약한 서버에서 미라이 봇넷 멀웨어를 무기화하고 실행하는 것을 관찰했다"고 설명했다.
스프링4셸은 특정 구성을 사용하는 경우에 영향을 받는다. 구체적으로 ▲톰캣 환경 사용 ▲애플리케이션을 war 파일로 배포 ▲자바개발자키트(JDK)9 이상 사용 ▲웹MVC 또는 웹플럭스 종속성을 통한 스프링-빈 포함 ▲스프링 프레임워크 5.3.0~5.3.17버전 또는 5.2.0~5.2.19버전 사용 등이 조건이다.
취약한 구성을 사용하는 경우 패치된 버전으로 업그레이드해야 한다. 스프링은 지난달 31일 공식 블로그를 통해 취약점 패치가 포함된 스프링프레임워크 5.3.18버전, 5.2.20버전을 배포했다.
