18일 오후 한국 대기업들이 Apache Struts2의 취약점(CVE-2013-2251)을 이용한 공격툴로 무차별공격을 받고 있다는 데일리시큐의 최초 보도 이후 국내 보안기업들이 해당 취약점을 분석한 자료들을 19일 자체 블로그를 통해 공개하기 시작했다.

 
19일 안랩 측은 “해당 취약점은 Apache Struts의 특정 매개변수에 공격 구문을 전달해, 파일 생성 및 원격 명령을 수행 할 수 있다”며 “7월 17일 오후 Apache Struts2 공격툴이 공개된 이후 해당 취약점을 이용한 공격이 급증하고 있으며 기업의 중요 서버에 대한 침입 시도와 피해 사례가 다수 확인되고 있다”고 밝혔다.
 
Apache.org는 이 취약점을 위험도 [매우 위험]으로 구분하고 있으며, 현재 패치를 제작해 배포하고 있다.
 
또 “취약점은 Apache Struts 2.3.15 이하의 버전에서 “action:”, “redirect:”, “redirectAction:”와 같은 매개변수에 특정 구문이 전달될 때, Struts가 해당 매개변수들에 대한 입력 값 검증을 제대로 수행하지 않아 발생한다. 공격자는 원격에서 임의의 코드를 삽입할 수 있으며, 검증되지 않은 해당 코드를 서버에 삽입할 수 있다”고 설명했다.
 
잉카인터넷 대응팀도 “중국내 언더그라운드 사이트에서 아파치 Struts2 취약점을 이용한 Exploit 코드와 공격도구가 다수 배포되고 있는 점을 확인했다. 아파치 Struts2 프로그램은 자바 웹 프로그램 구축을 위한 프레임 워크이다”라며 “따라서 해당 취약점을 이용한 공격이 증가할 것으로 우려된다. 아파치 Struts2 버전을 이용하고 있는 웹서버 관리자는 신속히 2.3.15.1 이상의 상위버전으로 신속히 업데이트를 해야 한다. 보안이 취약한 버전을 사용할 경우 해킹에 의해서 홈페이지 변조 및 데이터 베이스 정보 유출 등의 피해를 입을 수 있으므로, 서버 관리자들의 신속하고 적극적인 조치가 요구된다”고 밝혔다.
 
또 “중국의 다수 사이트에서 관련 공격 도구가 지속적으로 등장하고 있으며, 2013년 7월 17일 오후부터 중국의 대형 사이트들이 공격을 받고 있다. 이미 다수의 공격도구들이 무차별적으로 공격에 이용되고 있기 때문에 신속한 업데이트가 필요하다”며 “한국의 사이트들도 공격대상에 포함되고 있는 것으로 알려진 상태이므로 아파치 Struts2를 운영중인 웹 서버 관리자들은 신속한 보안 업데이트가 필요하다”고 강조했다.
 
KISA도 ‘Apache Struts 2 원격코드 실행 취약점 보안업데이트 권고’문을 걸고 “Apache Struts 2에서, 원격코드 실행 등의 취약점이 발견됐다. 공격자는 특수하게 조작한 파라미터를 취약점이 존재하는 서버로 전송할 경우, 원격코드 실행 등이 가능하다”며 “취약한 버전을 사용하고 있을 경우, 해킹에 의해 홈페이지 변조, 데이터베이스 정보 유출 등의 피해를 입을 수 있으므로 서버 관리자의 적극적인 조치가 필요하다”고 패치를 권고했다.
 
한편 모 보안전문가는 “Apache Struts 2를 사용하는 기업들 대부분 대형 기업들이 주로 많이 사용한다”며 “17일부터 공격이 시작됐기 때문에 대응 전에 해킹을 당한 기업들이 있을 것으로 추정된다. 패치한 이후에도 해킹에 따른 DB유출 여부에 대해 조사를 해야 한다”고 강조했다.
 
해당 웹 서버 운영관리자는 신속히 알려진 취약점이 제거된 아파치 Strusts 2.3.15.1 상위 버전으로 업데이트 해야 한다.
-struts.apache.org/download.cgi#struts23151
 
데일리시큐 길민권 기자 mkgil@dailysecu.com