최근 몇 주 동안 아파치(Apache) ActiveMQ의 심각한 취약점을 노리는 악성 공격들이 급증하고 있어 각별한 주의가 요구된다.

CVE-2023-46604은 널리 사용되는 메시징 브로커에 심각한 취약점을 노출시켜 위협 행위자가 원격 코드를 실행하고 표적 시스템을 침해할 수 있다.

◇ActiveMQ 취약점 악용 사례

2023년 10월 말에 발견된 이 취약점은 랜섬웨어, 루트킷, 암호화폐 채굴기, 디도스 봇넷 등 다양한 악성 페이로드를 배포하는 사이버 범죄자들의 놀이터가 되고 있다. 특히, 개념 증명(PoC) 익스플로잇은 공개 이후 유포되고 있으며, 이를 통해 위협 공격자들은 OpenWire 프로토콜 내에서 이를 악용하고 있는 것으로 조사됐다.

트러스트웨이브의 최근 사이버 보안 경보에 따르면, 이 ActiveMQ 취약점을 악용해 손상된 호스트에 고질라 웹쉘을 배포하는 위협 공격자의 활동이 크게 증가했다. 알려지지 않은 바이너리 형식에 숨겨진 고질라 웹쉘은 보안 및 시그니처 기반 스캐너에 보안 문제를 발생시킨다.

이 악성 파일이 특히 주목할 만한 이유는 JSP 코드가 알 수 없는 바이너리 형식 안에 숨겨져 있다는 점이다. 이 방식은 보안 조치를 우회해 검사 중 보안 엔드포인트의 탐지를 회피할 수 있다.

공격 체인을 자세히 분석한 결과, 웹쉘 코드가 알 수 없는 바이너리 형식 안에 숨겨져 있으며, ActiveMQ의 JSP 엔진이 계속 컴파일하고 실행하는 것으로 나타났다. 또한, 제티 서블릿 엔진은 실행 전에 JSP 페이로드를 자바 코드로 변환한다. 그 결과 기존의 보안 조치를 우회할 수 있는 은밀하고 정교한 공격이 가능하다.

고질라 웹쉘이 성공적으로 배포되면 위협 공격자는 손상된 시스템을 광범위하게 제어할 수 있다. 웹쉘의 기능에는 인바운드 HTTP POST 요청을 파싱하고, 콘텐츠를 실행하고, 결과를 HTTP 응답 형태로 반환하는 것이 포함된다. 특히 웹쉘은 임의의 쉘 명령을 실행하고, 네트워크 정보를 볼 수 있으며, 파일 관리 작업을 처리할 수 있다.

아파치 ActiveMQ 사용자는 즉시 최신 버전으로 업데이트해야 안전할 수 있다. 특히 다음 버전 사용자는 주의해야 한다.

-5.18.3 이전 Apache ActiveMQ 5.18.0 버전

-5.17.6 이전 Apache ActiveMQ 5.17.0

-5.16.7 이전 Apache ActiveMQ 5.16.0

-5.15.16 이전 Apache ActiveMQ

-5.18.3 이전의 아파치 액티브MQ 레거시 오픈와이어 모듈 5.18.0

-5.17.6 이전 아파치 액티브MQ 레거시 오픈와이어 모듈 5.17.0

-5.16.7 이전 Apache ActiveMQ 레거시 오픈와이어 모듈 5.16.0

-5.15.16 이전의 아파치 액티브MQ 레거시 오픈와이어 모듈 5.8.0

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★