아파치 스트럿츠 취약점 노린 공격 확산
2017년 3월 14일 (화)
ⓒ 지디넷코리아, 임민철 기자
"원격코드실행 공격에 2.3.5~2.3.31 버전, 2.5~2.5.10 버전 노출"
아파치 스트럿츠(Struts)가 원격코드실행(RCE) 취약점을 품은 것으로 드러났다. 스트럿츠는 국내외서 널리 쓰이는 자바 웹애플리케이션용 오픈소스 프레임워크다. 이를 사용 중인 다수 웹서버 개발자와 운영자에게 취약점이 해결된 새 버전 업데이트가 요구된다.
한국인터넷진흥원(KISA) 보호나라 인터넷침해대응센터(KrCERT/CC)는 지난 7일 보안공지를 통해 아파치 스트럿츠 RCE 취약점(CVE-2017-5638)에 대응한 최신 버전 업데이트를 권고했다.
취약점은 파일 업로드 수행시 HTTP 요청 헤더 내용을 변조해 RCE가 가능해지는 것으로 요약됐다. 스트럿츠의 자카르타 기반 멀티파트 파서가 Content-Type 값을 처리하는 과정에 문제가 있었다.
[☞참조링크: 보안공지 | 자료실 - KISA 보호나라&KrCERT]
시스코가 지난 8일 탈로스인텔리전스 블로그를 통해 제시한 분석에 따르면 공격자는 취약점을 이용해 해당 웹서버가 리눅스 기반인지, 어떤 서비스를 구동하는지, 어떤 권한으로 동작 중인지 파악한 뒤 더 복잡한 공격 명령을 보내거나 네트워크 환경 정보 수집을 시도하는 것으로 나타났다.
[☞원문: Content-Type: Malicious - New Apache Struts2 0-day Under Attack]
스트럿츠 프레임워크 2.3 버전대(2.3.5~2.3.31)와 2.5버전대(2.5~2.5.10) 기술을 사용한 자바 웹애플리케이션이 이 취약점에 노출돼 있다. 인용된 아파치 스트럿츠 보안게시판 공지사항에 따르면 취약점은 2.3.32와 2.5.10.1 이후 버전 업데이트로 해결할 수 있다.
[☞원문: S2-045 - Apache Struts 2 documentation - Apache Software Foundation]
업데이트를 수행할 수 없을 경우 콘텐츠 유형에 엄격한 필터링을 적용하거나, common-fileupload-x.x.x.jar 파일을 삭제하는 방법도 있다. 다만 해당 파일을 삭제하면 업로드 기능을 쓸 수 없게 된다.
공지사항에 따르면 최신 업데이트를 적용했더라도 후속 조치를 해 두는 게 낫다. Content-Type 유효성을 검증하고 'multipart/form-data' 형식에 맞지 않는 값으로 전달된 요청은 배제하는 서블릿 필터를 만들라는 조언이다.
IT미디어 디인콰이어러는 13일 "취약점이 공개된 이래 이를 악용하려는 시도가 주초부터 목격되고 있다"는 SANS인터넷스톰센터(SANS ICS)와 시스코 탈로스 측 보안연구자의 분석을 인용 보도했다. 취약점이 비교적 공격에 이용하기가 쉬워, 공개된지 1주가 지나면서 이를 이용한 공격이 확대 추세라는 진단이다.
[☞원문: Apache Struts 2 zero-day is being exploited in the wild]
그러나 일부 국내 매체 보도에 따르면 스트럿츠 취약점은 이미 이달초 중국에서 활발해진 것으로 추정되는 한국 인터넷 대상 사이버공격에 이용됐다. 중국 해커그룹이 이 취약점을 공격하는 자동화툴을 만들어 취약점이 존재하는 국내 웹서버를 찾아 공격 중인 것으로 파악됐다.
[☞관련기사: '중국발 사드 보복' 명분 내건 사이버공격 확산]
[☞데일리시큐 9일자 보도: [긴급] 중국 해커들, Struts2 자동화 공격툴과 공격방법 공유중…주의]
※ 본 내용은 (주)메가뉴스(http://www.zdnet.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 지디넷코리아. 무단전재 및 재배포 금지
[원문출처 : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20170314100153]
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 327279 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 317023 | 2020-10-27 |
6453 | 포스코, 세계 철강사 최초 AI 도입 | 3619 | 2017-03-14 |
6452 | 카카오, '카카오 AI 리포트' 발행…AI 분야 동향 담는다 | 4206 | 2017-03-14 |
6451 | 아파치 스트럿츠 취약점 노린 공격 확산 | 4210 | 2017-03-14 |
6450 | 중국산 CPU '룽선 3호' 탑재된 리눅스 노트북 | 4086 | 2017-03-14 |
6449 | [블록체인③] “리눅스재단 ‘하이퍼레저’, 블록체인 표준될 것” | 3941 | 2017-03-14 |
6448 | `리눅스·맥OS X`도 보안 취약점 드러났다 | 4066 | 2017-03-14 |
6447 | 수세, HPE 클라우드 사업 인수 | 3744 | 2017-03-14 |
6446 | 'AI·머신러닝 문턱 낮춘다'··· 구글 클라우드가 제시하는 4가지 | 4076 | 2017-03-14 |
6445 | `사드`에 열받은 중국 해커, 아파치 스트럿츠 최신 취약점 공격 활용... "즉시 패치해야" | 4182 | 2017-03-14 |
6444 | 칼럼 | 오픈소스SW 수익화, 제 2의 레드햇은 왜 없을까? | 3928 | 2017-03-13 |
0개 댓글