![](https://blog.cloudflare.com/content/images/2023/08/1a.png)
사이버 보안 및 인프라 보안 기관(CISA)이 2022년에 가장 일반적으로 악용되는 취약성을 강조하는 보고서를 방금 발표했습니다. 인터넷의 상당 부분에 대한 리버스 프록시 역할을 하는 Cloudflare는 CISA가 언급한 공통 취약성 및 노출(CVE)이 인터넷에서 어떻게 악용되고 있는지 관찰할 수 있는 독보적인 위치에 있습니다.
Cloudflare가 얻은 교훈을 조금이라도 공유하고 싶습니다.
분석에 따르면 CISA 보고서에 언급된 두 가지 CVE가 외부 환경에서 관찰되는 공격 트래픽의 대부분을 담당하고 있습니다. 이는 Log4J 및 Atlassian Confluence 코드 주입입니다. CISA/CSA는 같은 보고서에서 더 많은 수의 취약성을 다루고 있지만, 저희 데이터에 따르면 상위 2개 취약성과 나머지 취약성 목록의 악용 규모에는 큰 차이가 있습니다.
2022년 상위 CVE
특정 CVE(CISA 보고서에 언급됨)를 위해 생성된 WAF 관리 규칙을 통해 요청 수량이 감지되었는데, 이 수량을 살펴보면 더 널리 퍼져 있는 순서대로 취약성의 순위를 매길 수 있습니다.
1위는 Log4J(CVE-2021-44228)입니다. 이는 지난 수십 년 동안 확인된 가장 영향력이 큰 악용 중 하나이며, 완전한 원격 손상으로 이어질 수 있습니다. 두 번째로 많이 악용되는 취약성은 Atlassian Confluence 코드 주입(CVE-2022-26134)입니다.
3위는 Microsoft Exchange 서버를 대상으로 하는 세 가지 CVE(CVE-2021-34473, CVE-2021-31207, CVE-2021-34523)의 조합이 차지했습니다. 4위는 BIG-IP F5 악용(CVE-2022-1388), 5위는 두 개의 VMware 취약성(CVE-2022-22954 및 CVE-2022-22960) 조합이 차지했습니다. 이 목록은 또 다른 Atlassian Confluence 제로 데이(CVE-2021-26084)로 끝납니다.
이 다섯 그룹의 공격 규모를 비교하면 한 가지 취약성이 눈에 띄는 것을 즉시 알 수 있습니다. Log4J는 2위(Atlassian Confluence 코드 주입)보다 훨씬 더 많이 악용되고 있으며, 나머지 모든 CVE는 그보다 훨씬 더 낮습니다. CISA/CSA 보고서에서는 이러한 모든 취약성을 한데 묶어 분류하지만, 저희는 지배적인 CVE(Log4J)와 이와 유사한 제로 데이 취약점 그룹으로 구성된 보조 그룹이 있다고 생각합니다. 두 그룹의 공격량은 각각 비슷합니다.
아래 차트는 로그 척도를 통해 인기도의 차이를 명확하게 보여줍니다.
![각 CVE에 대해 Cloudflare 네트워크에서 차단된 요청 수입니다. 차단은 Cloudflare 사용자를 보호하기 위해 생성된 관리 규칙에 의해 트리거됩니다.](https://blog.cloudflare.com/content/images/2023/08/2a.png)
CVE-2021-44228: Log4J
목록의 첫 번째는 악명 높은 CVE-2021-44228로, Log4j 취약성으로 더 잘 알려져 있습니다. 이 결함은 2021년에 사이버 세계에 심각한 혼란을 야기했으며, 지금도 광범위하게 악용되고 있습니다.
Cloudflare는 취약성이 공개된 후 몇 시간 내에 새로운 관리 규칙을 발표했습니다. 또한 다음 날에 업데이트된 감지 기능도 공개했습니다(블로그). 전체적으로 3단계에 걸쳐 규칙을 발표했습니다.
저희가 배포한 규칙은 네 가지 범주에서 악용을 감지합니다.
- Log4j 헤더: HTTP 헤더의 공격 패턴
- Log4j 본문: HTTP 본문의 공격 패턴
- Log4j URI: URI의 공격 패턴
- Log4j 본문 난독화: 난독화된 공격 패턴
저희는 HTTP 헤더의 Log4J 공격이 HTTP 본문보다 더 흔하다는 사실을 발견했습니다. 아래 그래프는 이 취약성에 대해 시간의 경과에 따라 지속되는 악용 시도를 보여주며, 2023년 7월(작성 시점)까지 뚜렷한 정점과 증가세를 보이고 있습니다.
![지난 1년간 Log4j 악용 시도 동향](https://blog.cloudflare.com/content/images/2023/08/2b.png)
이러한 취약성의 큰 영향력 때문에, 더 안전하고 더 나은 인터넷을 책임지기 위해 2022년 3월 15일 Cloudflare는 큰 영향력을 미치는 취약점에 대한 WAF 관리 규칙을 모든 요금제(무료 포함)에 제공한다고 발표했습니다. 이 무료 규칙은 Log4J 악용, Shellshock 취약성, 다양하고 광범위한 WordPress 악용과 같이 영향력이 큰 취약성을 해결합니다. 규모나 예산에 관계없이 모든 기업 또는 개인 웹사이트는 Cloudflare의 WAF를 사용하여 디지털 자산을 보호할 수 있습니다.
Apache Software Foundation에서 발표한 Log4J에 대한 전체 보안 권고문은 여기에서 확인할 수 있습니다.
CVE-2022-26134: Atlassian Confluence 코드 주입
Atlassian Confluence에 피해를 끼친 코드 주입 취약성은 2022년에 두 번째로 많이 악용된 CVE였습니다. 이 악용은 전체 시스템에 위협을 가했으며, 많은 기업 사이트가 공격자의 손아귀에 놓이게 되었습니다. 이는 조직 내 정보 관리에서 지식 기반 시스템이 얼마나 중요해졌는지를 보여줍니다. 공격자들은 이러한 시스템의 중요성을 인식하고 있기 때문에 이러한 시스템을 표적으로 삼고 있습니다. 이에 따라 Cloudflare WAF팀은 고객을 보호하기 위해 두 차례에 걸쳐 긴급 발표를 했습니다.
이번 발표의 일환으로 모든 WAF 사용자가 두 가지 규칙을 사용할 수 있게 되었습니다.
- Atlassian Confluence - 코드 주입 - CVE:CVE-2022-26134
- Atlassian Confluence - 코드 주입 - 확장 - CVE:CVE-2022-26134
아래 그래프는 매일 접수된 공격 건수를 표시하며, 시스템이 패치되고 보안이 강화됨에 따라 정점을 찍은 후 점차 감소하는 모습을 보여줍니다.
Log4J와 Confluence 코드 주입 모두 2022년 9월/11월부터 2023년 3월까지 공격이 더 많이 발생하는 계절적 특성을 보입니다. 이는 공격자들이 여전히 이 취약성을 악용하려고 시도하는 캠페인을 반영하는 것으로 보입니다(2023년 7월 말 현재 진행 중인 캠페인이 확인됨).
![지난 1년간의 CVE-2022-26134 악용 시도 동향](https://blog.cloudflare.com/content/images/2023/08/2c.png)
CVE-2021-34473, CVE-2021-31207 및 CVE-2021-34523: Microsoft Exchange SSRF 및 RCE 취약성
이전에 알려지지 않은 세 가지 버그가 서로 연결되어 원격 코드 실행(RCE) 제로 데이 공격에 성공했습니다. Microsoft Exchange 서버가 얼마나 널리 채택되었는지를 고려하면, 이러한 악용은 모든 산업, 지역 및 부문에 걸쳐 데이터 보안 및 기업 운영에 심각한 위협이 되었음을 알 수 있습니다.
Cloudflare WAF는 2022년 3월 3일 긴급 발표와 함께 이 취약성에 대한 규칙을 공개했습니다.(Microsoft Exchange SSRF 및 RCE 취약성 - CVE:CVE-2022-41040, CVE:CVE-2022-41082 포함)
지난 1년 동안의 해당 공격 동향은 아래 그래프에서 확인할 수 있습니다.
![지난 1년간 Microsoft Exchange 악용 시도 동향](https://blog.cloudflare.com/content/images/2023/08/2d.png)
참조용 보안 권고 사항: CVE-2021-34473, CVE-2021-31207 및 CVE-2021-34523.
CVE-2022-1388: BIG-IP F5의 RCE
이 특정 보안 취약성은 인증되지 않은 공격자가 BIG-IP 시스템(애플리케이션 보안 및 성능 솔루션 그룹의 F5 제품명)에 네트워크의 연결이 있는 경우 악용될 수 있습니다. 공격자는 관리 인터페이스 또는 자체 할당된 IP 주소를 통해 제한 없는 시스템 명령을 실행할 수 있습니다.
Cloudflare는 이 문제를 감지하기 위한 긴급 발표(긴급 발표: 2022년 5월 5일)를 통해 명령 주입 - BIG-IP의 RCE - CVE:CVE-2022-1388 규칙을 발표했습니다.
2023년 6월 말에 급증한 것을 제외하면, 특정 캠페인의 징후 없이 비교적 지속적인 악용 패턴을 보이고 있습니다.
![지난 1년간 BIG-IP F5 악용 시도 동향](https://blog.cloudflare.com/content/images/2023/08/2e.png)
CVE-2022-22954: VMware Workspace ONE 액세스 및 ID 관리자 서버 측 템플릿 주입 원격 코드 실행 취약성
이 취약성을 통해 공격자는 원격으로 서버 측 템플릿 주입을 트리거하여 원격으로 코드를 실행할 수 있습니다. 악용에 성공하면 웹 인터페이스에 네트워크 액세스 권한이 있는 인증되지 않은 공격자가 VMware 사용자로 임의의 셸 명령을 실행할 수 있습니다. 나중에 이 이슈는 로컬 권한 상승 취약성(LPE) 이슈였던 CVE-2022-22960과 결합되었습니다. 이 두 가지 취약성을 결합하면 원격 공격자가 루트 권한으로 명령을 실행할 수 있습니다.
Cloudflare WAF는 이 취약성에 대한 규칙을 공개했습니다. 발표: 2022년 5월 5일. 아래는 시간 경과에 따른 악용 시도 그래프입니다.
![지난 1년간 VMware 악용 시도 동향](https://blog.cloudflare.com/content/images/2023/08/2f.png)
CVE-2021-26084: Confluence 서버 웹워크 OGNL 주입
인증되지 않은 공격자가 Confluence 서버 또는 데이터 센터 인스턴스에서 임의의 코드를 실행할 수 있는 OGNL 주입 취약성이 발견되었습니다. Cloudflare WAF는 2022년 9월 9일에 이 취약성에 대한 긴급 발표를 했습니다. 이 게시물에서 논의한 다른 CVE와 비교하면 지난 1년 동안 많은 악용이 관찰되지 않았습니다.
![지난 1년간 Confluence OGNL 악용 시도 동향](https://blog.cloudflare.com/content/images/2023/08/2g.png)
보호 강화를 위한 권장 사항
모든 서버 관리자는 수정 사항이 제공될 때마다 소프트웨어를 계속 업데이트할 것을 권장합니다. 무료 고객을 포함한 Cloudflare 고객은 관리형 규칙 집합에서 매주 업데이트되는 새로운 규칙을 통해 CVE 및 제로 데이 위협을 해결할 수 있습니다. 고위험 CVE로 인해 긴급 발표가 수행될 수도 있습니다. 이외에도 Enterprise 고객은 기존의 시그니처 기반 규칙을 보완하여 알려지지 않은 위협과 우회 시도를 식별하는 AI 기반 감지 기능인 WAF Attack Score에 액세스할 수 있습니다. 규칙 기반과 AI 감지의 강점을 결합하여, Cloudflare는 알려진 위협과 새로운 위협에 대한 강력한 방어 기능을 제공합니다.
결론
Cloudflare의 데이터는 CISA의 취약성 보고서를 보강할 수 있습니다. 주목할 점은 상위 두 가지 취약성을 악용하려는 시도가 나머지에 비해 몇 배나 많다는 점입니다. 조직은 제공된 목록에 따라 소프트웨어 패치 작업에 집중해야 합니다. 당연히 모든 소프트웨어는 패치를 적용해야 하며, WAF를 잘 구현하면 추가 보안을 보장하고 기본 시스템이 기존 및 향후 취약성 모두에 대해 보안을 유지할 수 있는 '시간적 여유'를 확보할 수 있습니다.