공격자들이 오픈소스 콘텐츠 관리 시스템 줌라(Joomla)와 연결된, 심각한 원격 명령어 실행 취약점을 이용해 공격해온 사실이 밝혀졌다.
 
12월 1일에 버전 1.5부터 3.4.5까지 해당하는 이 취약점에 대한 패치가 이루어졌지만 해당 버그가 이미 익스플로잇되어 너무 늦었다고 판단된다.
 
미국 보안 기업인 Sucuri가 모니터링한 바에 의하면, 이번 공격은 지난 토요일에 몇 개의 IP 주소로부터 시작되었고 일요일까지 수백 개의 익스플로잇 시도들을 포함한 공격들이 감지되었다.
 
Sucuri가 공개한 블로그 포스트는 “14일 오늘 공격의 크기가 더욱 커졌고 이는 모든 Joomla 사이트가 공격의 타깃이 될 수 있음을 의미한다.”고 언급했다.
 
Sucuri 연구원들은 Joomla 사이트 관리자들에게 공격의 시초로 보이는 IP 주소 146.0.72.83, 74.3.170.33, 또는 194.28.174.106에 대한 로그를 검색할 것을 조언하고 있다. 또한 연구원들은 "JDatabaseDriverMysqli"와 “O:"를 사용하는 이벤트들에 대한 로그도 검색할 것을 조언한다.
 
Joomla 1.5 버전은 2008년 1월에 출시되었으며 이는 해당 버그가 8년동안 존재했다는 것을 의미한다. 3.4 버전은 올해 초에 출시되었고 익스플로잇된 취약한 시스템들에 어떤 일이 일어날지 여전히 명확하지 않은 상황이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 HSK 기자 / mkgil@dailysecu.com>