미국 국토안보부의 사이버 보안 및 인프라 보안 기관(DHS CISA)이 펄스 시큐어 VPN 서버를 운영하는 기업들이 시스템 패치에도 불구하고 여전히 해킹당할 위험이 있다고 경고하고 깃허브에 펄스 시큐어 VPN을 실행하는 회사들을 위한 툴을 공개했다.

CISA에 따르면, 악의적 해커들은 펄스 시큐어 VPN 서버에 대한 액세스를 사용해 평문 액티브 디렉토리 자격증명을 추출해왔다. 피해 기관이 VPN 어플라이언스를 패치한 후 수개월 내에 손상된 액티브 디렉토리 자격증명이 사용된 사건을 알고 있다. 특정 사례에서 사이버 위협 행위자가 고객의 환경에 접속해 권한을 높이고 랜섬웨어를 유포시키려는 수십번의 시도를 실패한 후 훔친 자격증명을 팔려고 하는 시도도 포착했다고 밝혔다.

이번에 CISA가 깃허브에 공개한 툴을 사용하면, 펄스 시큐어 로그를 탐색하고 잠재적 손상의 징후를 발견할 수 있다. 또 펄스 시큐어 VPN 서버를 악용한 그룹과 연관된 것으로 알려진 IP 주소 및 사용자 에이전트를 검색한다.

CISA 측은 “아직 펄스 시큐어 VPN을 CVE-2019-11510 패치로 업그레이드 하지 않은 회사는 패치를 권장한다. 만약 탐지 수단을 적용한 후 CVE-2019-11510 악용의 증거를 탐지하면 관리자 및 서비스 계정을 포함한 모든 액티브 디렉토리 계정의 암호를 변경해야 한다”고 경고했다.

국내에서도 사용하는 기관이 있다면 각별히 주의해야 한다.

★정보보안 대표 미디어 데일리시큐!★