지난 17일 저녁부터 중국 정부기관과 대형 사이트를 대상으로 Apache Struts2 취약점을 이용한 공격툴에 의한 대대적인 공격이 시작됐다. 그 여파는 Apache Struts2를 사용하는 한국의 대기업, 금융, 통신 등 대형 사이트에까지 상당한 타격을 주었다. 데일리시큐는 이를 최초 보도한 바 있으며 17일 저녁부터 공격이 시작된 이후 18일에서야 한국 사이트들이 대응하기 시작했기 때문에 상당수 사이트들의 해킹피해가 발생했을 것으로 추정된다. 이에 NSHC(대표 허영일) RedAlert팀은 이번 취약점에 대한 상세 분석 보고서를 발표하고 이용 기업들의 주의를 당부했다.
 
RedAlert팀은 분석 보고서에서 “Apache Struts2는 자바 웹 애플리케이션 구축을 위한 프레임워크로 2.3.15.0 이하 버전의 프레임워크를 사용하는 웹 서버 관리자는 2.3.15.1 이상 상위 버전으로 신속하게 업데이트해야 해킹에 의한 홈페이지 변조 및 데이터베이스 정보유출 등 심각한 피해를 방지할 수 있다”고 관리자의 적극적인 조치를 당부했다.
 
또 해당 보고서에는 Open Redirection 취약성과 Remote Code Execution 취약성에 대한 POC가 자세하게 설명돼 있다.
 
공격자가 취약성이 존재하는 Apache Struts2 웹사이트에 접속해 임의의 웹사이트로 리다이렉션 되도록 작성한 코드를 삽입해 피싱이나 신규 취약점이 존재하는 웹사이트로 접속을 유도할 수 있다는 것을 증명해 보였다.
 
또 공격자가 취약성이 존재하는 Apache Struts2 웹사이트에 접속해 해당 위약성을 이용해 계산기를 실행하도록 작성된 코드를 Post 메소드를 이용해 전송하고 취약성이 존재하는 웹서버에서 전송된 코드를 처리하면서 계산기가 실행되도록 작성된 코드가 실행되는 것을 보여주고 있다.
 
한편 현재 발견된 공격도구들에 대한 분석도 포함 돼 있다. 보고서에 따르면, 해당 도구들은 모두 동일한 방식으로 동작하며 취약성을 유발할 수 있는 코드를 전송하는 방식으로 동작하는 것을 확인시켜 주고 있다.
 
RedAlert팀 관계자는 “두 취약성 중 위험도가 높은 Remote Code Execution 취약성은 원격에서 간단하게 타깃 시스템에서 임의의 코드를 실행할 수 있기 때문에 매우 위험하다”며 “해당 취약성이 존재하는 프레임워크를 사용하는 웹서버 관리자는 해당 취약성이 제거된 Apache Struts2 최신 버전으로 신속하게 업데이트 해야 하며 이미 해당 취약성을 통해 악성코드에 감염됐을 수 있기 때문에 내부적으로 정밀한 점검이 필요하다”고 강조했다.
 
해당 보고서는 RedAlert팀 페이스북 페이지에서 다운로드 할 수 있고 데일리시큐 자료실에서도 다운로드 가능하다.
- RedAlert팀: www.facebook.com/nshc.redalert
 
데일리시큐 길민권 기자 mkgil@dailysecu.com