미국 사이버 보안 및 인프라 보안국(이하 CISA))은 손상된 시스템에 LockFile 랜섬웨어를 배포하는 것을 포함해 올 5월 초에 패치된 마이크로소프트 Exchange "ProxyShell" 취약점의 최신 라인을 활용하는 사이버공격 시도에 대해 경고했다.
CVE-2021-34473, CVE-2021-34523 및 CVE-2021-31207로 추적되는 취약점을 통해 공격자는 ACL 제어를 우회하고 익스체인지 파워쉘 백엔드에 대한 권한을 상승 시켜 공격자가 인증되지 않은 원격 코드 실행을 효과적으로 수행할 수 있다. CVE-2021-34473과 CVE-2021-34523 취약점은 4월 13일 마이크로소프트에서 패치를 진행했지만 CVE-2021-31207 용 패치는 5월 패치 튜스데이에서 일부만 제공되었다.
CISA는 "이러한 취약점을 악용하는 공격자는 취약한 시스템에서 임의 코드를 실행할 수 있다"고 설명했다.
이번 경고는 사이버 보안 연구원들이 프록시쉘 공격 체인을 이용하여 패치되지 않은 익스체인지 서버에 대한 스캐닝과 악용에 대해 경고한 지 일주일이 조금 넘어 이루어졌다.
원래 올해 4월 Pwn2Own 해킹 대회에서 시연된 프록시쉘은 DEVCORE 보안 연구원 Orange Tsai가 발견한 일반 텍스트 형식으로 사용자의 암호를 복구하는 2개의 원격 코드 실행 취약점인 ProxyLogon 및 ProxyOracle을 포함하는 광범위한 익스플로잇 체인 트리오의 일부다.
★정보보안 대표 미디어 데일리시큐!★
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지