사이버 보안 및 인프라 보안 기관(CISA)이 2022년에 가장 일반적으로 악용되는 취약성을 강조하는 보고서를 방금 발표했습니다. 인터넷의 상당 부분에 대한 리버스 프록시 역할을 하는 Cloudflare는 CISA가 언급한 공통 취약성 및 노출(CVE)이 인터넷에서 어떻게 악용되고 있는지 관찰할 수 있는 독보적인 위치에 있습니다.
Cloudflare가 얻은 교훈을 조금이라도 공유하고 싶습니다.
분석에 따르면 CISA 보고서에 언급된 두 가지 CVE가 외부 환경에서 관찰되는 공격 트래픽의 대부분을 담당하고 있습니다. 이는 Log4J 및 Atlassian Confluence 코드 주입입니다. CISA/CSA는 같은 보고서에서 더 많은 수의 취약성을 다루고 있지만, 저희 데이터에 따르면 상위 2개 취약성과 나머지 취약성 목록의 악용 규모에는 큰 차이가 있습니다.
2022년 상위 CVE
특정 CVE(CISA 보고서에 언급됨)를 위해 생성된 WAF 관리 규칙을 통해 요청 수량이 감지되었는데, 이 수량을 살펴보면 더 널리 퍼져 있는 순서대로 취약성의 순위를 매길 수 있습니다.
발생 순위
설명
CVEs
1. 부적절한 입력 유효성 검사로 인해 Apache Log4j 로깅 라이브러리에서 원격 코드 실행 발생
Log4J
2. Atlassian Confluence 서버 및 데이터 센터 원격 코드 실행 취약성
Atlassian Confluence 코드 주입
3. 3가지 이슈가 결합되어 프록시셸이라고도 하는 원격 코드 실행
Microsoft Exchange 서버
CVE-2021-34473, CVE-2021-31207, CVE-2021-34523
4. 공개되지 않은 요청이 iControl REST 인증을 우회하고 임의 코드 실행 가능
BIG-IP F5
5. 2가지 이슈를 결합하여 원격 루트 확보
VMware
6. Confluence 서버 및 데이터 센터의 원격 코드 실행 문제
Atlassian Confluence 제로 데이
1위는 Log4J(CVE-2021-44228)입니다. 이는 지난 수십 년 동안 확인된 가장 영향력이 큰 악용 중 하나이며, 완전한 원격 손상으로 이어질 수 있습니다. 두 번째로 많이 악용되는 취약성은 Atlassian Confluence 코드 주입(CVE-2022-26134)입니다.
3위는 Microsoft Exchange 서버를 대상으로 하는 세 가지 CVE(CVE-2021-34473, CVE-2021-31207, CVE-2021-34523)의 조합이 차지했습니다. 4위는 BIG-IP F5 악용(CVE-2022-1388), 5위는 두 개의 VMware 취약성(CVE-2022-22954 및 CVE-2022-22960) 조합이 차지했습니다. 이 목록은 또 다른 Atlassian Confluence 제로 데이(CVE-2021-26084)로 끝납니다.
이 다섯 그룹의 공격 규모를 비교하면 한 가지 취약성이 눈에 띄는 것을 즉시 알 수 있습니다. Log4J는 2위(Atlassian Confluence 코드 주입)보다 훨씬 더 많이 악용되고 있으며, 나머지 모든 CVE는 그보다 훨씬 더 낮습니다. CISA/CSA 보고서에서는 이러한 모든 취약성을 한데 묶어 분류하지만, 저희는 지배적인 CVE(Log4J)와 이와 유사한 제로 데이 취약점 그룹으로 구성된 보조 그룹이 있다고 생각합니다. 두 그룹의 공격량은 각각 비슷합니다.
아래 차트는 로그 척도를 통해 인기도의 차이를 명확하게 보여줍니다.
CVE-2021-44228: Log4J
목록의 첫 번째는 악명 높은 CVE-2021-44228로, Log4j 취약성으로 더 잘 알려져 있습니다. 이 결함은 2021년에 사이버 세계에 심각한 혼란을 야기했으며, 지금도 광범위하게 악용되고 있습니다.
Cloudflare는 취약성이 공개된 후 몇 시간 내에 새로운 관리 규칙을 발표했습니다. 또한 다음 날에 업데이트된 감지 기능도 공개했습니다(블로그). 전체적으로 3단계에 걸쳐 규칙을 발표했습니다.
저희가 배포한 규칙은 네 가지 범주에서 악용을 감지합니다.
Log4j 헤더: HTTP 헤더의 공격 패턴
Log4j 본문: HTTP 본문의 공격 패턴
Log4j URI: URI의 공격 패턴
Log4j 본문 난독화: 난독화된 공격 패턴
저희는 HTTP 헤더의 Log4J 공격이 HTTP 본문보다 더 흔하다는 사실을 발견했습니다. 아래 그래프는 이 취약성에 대해 시간의 경과에 따라 지속되는 악용 시도를 보여주며, 2023년 7월(작성 시점)까지 뚜렷한 정점과 증가세를 보이고 있습니다.
이러한 취약성의 큰 영향력 때문에, 더 안전하고 더 나은 인터넷을 책임지기 위해 2022년 3월 15일 Cloudflare는 큰 영향력을 미치는 취약점에 대한 WAF 관리 규칙을 모든 요금제(무료 포함)에 제공한다고 발표했습니다. 이 무료 규칙은 Log4J 악용, Shellshock 취약성, 다양하고 광범위한 WordPress 악용과 같이 영향력이 큰 취약성을 해결합니다. 규모나 예산에 관계없이 모든 기업 또는 개인 웹사이트는 Cloudflare의 WAF를 사용하여 디지털 자산을 보호할 수 있습니다.
Apache Software Foundation에서 발표한 Log4J에 대한 전체 보안 권고문은 여기에서 확인할 수 있습니다.
CVE-2022-26134: Atlassian Confluence 코드 주입
Atlassian Confluence에 피해를 끼친 코드 주입 취약성은 2022년에 두 번째로 많이 악용된 CVE였습니다. 이 악용은 전체 시스템에 위협을 가했으며, 많은 기업 사이트가 공격자의 손아귀에 놓이게 되었습니다. 이는 조직 내 정보 관리에서 지식 기반 시스템이 얼마나 중요해졌는지를 보여줍니다. 공격자들은 이러한 시스템의 중요성을 인식하고 있기 때문에 이러한 시스템을 표적으로 삼고 있습니다. 이에 따라 Cloudflare WAF팀은 고객을 보호하기 위해 두 차례에 걸쳐 긴급 발표를 했습니다.
이번 발표의 일환으로 모든 WAF 사용자가 두 가지 규칙을 사용할 수 있게 되었습니다.
Atlassian Confluence - 코드 주입 - CVE:CVE-2022-26134
Atlassian Confluence - 코드 주입 - 확장 - CVE:CVE-2022-26134
아래 그래프는 매일 접수된 공격 건수를 표시하며, 시스템이 패치되고 보안이 강화됨에 따라 정점을 찍은 후 점차 감소하는 모습을 보여줍니다.
Log4J와 Confluence 코드 주입 모두 2022년 9월/11월부터 2023년 3월까지 공격이 더 많이 발생하는 계절적 특성을 보입니다. 이는 공격자들이 여전히 이 취약성을 악용하려고 시도하는 캠페인을 반영하는 것으로 보입니다(2023년 7월 말 현재 진행 중인 캠페인이 확인됨).
CVE-2021-34473, CVE-2021-31207 및 CVE-2021-34523: Microsoft Exchange SSRF 및 RCE 취약성
이전에 알려지지 않은 세 가지 버그가 서로 연결되어 원격 코드 실행(RCE) 제로 데이 공격에 성공했습니다. Microsoft Exchange 서버가 얼마나 널리 채택되었는지를 고려하면, 이러한 악용은 모든 산업, 지역 및 부문에 걸쳐 데이터 보안 및 기업 운영에 심각한 위협이 되었음을 알 수 있습니다.
Cloudflare WAF는 2022년 3월 3일 긴급 발표와 함께 이 취약성에 대한 규칙을 공개했습니다.(Microsoft Exchange SSRF 및 RCE 취약성 - CVE:CVE-2022-41040, CVE:CVE-2022-41082 포함)
지난 1년 동안의 해당 공격 동향은 아래 그래프에서 확인할 수 있습니다.
참조용 보안 권고 사항: CVE-2021-34473, CVE-2021-31207 및 CVE-2021-34523.
CVE-2022-1388: BIG-IP F5의 RCE
이 특정 보안 취약성은 인증되지 않은 공격자가 BIG-IP 시스템(애플리케이션 보안 및 성능 솔루션 그룹의 F5 제품명)에 네트워크의 연결이 있는 경우 악용될 수 있습니다. 공격자는 관리 인터페이스 또는 자체 할당된 IP 주소를 통해 제한 없는 시스템 명령을 실행할 수 있습니다.
Cloudflare는 이 문제를 감지하기 위한 긴급 발표(긴급 발표: 2022년 5월 5일)를 통해 명령 주입 - BIG-IP의 RCE - CVE:CVE-2022-1388 규칙을 발표했습니다.
2023년 6월 말에 급증한 것을 제외하면, 특정 캠페인의 징후 없이 비교적 지속적인 악용 패턴을 보이고 있습니다.
a
CVE-2022-22954: VMware Workspace ONE 액세스 및 ID 관리자 서버 측 템플릿 주입 원격 코드 실행 취약성
이 취약성을 통해 공격자는 원격으로 서버 측 템플릿 주입을 트리거하여 원격으로 코드를 실행할 수 있습니다. 악용에 성공하면 웹 인터페이스에 네트워크 액세스 권한이 있는 인증되지 않은 공격자가 VMware 사용자로 임의의 셸 명령을 실행할 수 있습니다. 나중에 이 이슈는 로컬 권한 상승 취약성(LPE) 이슈였던 CVE-2022-22960과 결합되었습니다. 이 두 가지 취약성을 결합하면 원격 공격자가 루트 권한으로 명령을 실행할 수 있습니다.
Cloudflare WAF는 이 취약성에 대한 규칙을 공개했습니다. 발표: 2022년 5월 5일. 아래는 시간 경과에 따른 악용 시도 그래프입니다.
CVE-2021-26084: Confluence 서버 웹워크 OGNL 주입
인증되지 않은 공격자가 Confluence 서버 또는 데이터 센터 인스턴스에서 임의의 코드를 실행할 수 있는 OGNL 주입 취약성이 발견되었습니다. Cloudflare WAF는 2022년 9월 9일에 이 취약성에 대한 긴급 발표를 했습니다. 이 게시물에서 논의한 다른 CVE와 비교하면 지난 1년 동안 많은 악용이 관찰되지 않았습니다.
보호 강화를 위한 권장 사항
모든 서버 관리자는 수정 사항이 제공될 때마다 소프트웨어를 계속 업데이트할 것을 권장합니다. 무료 고객을 포함한 Cloudflare 고객은 관리형 규칙 집합에서 매주 업데이트되는 새로운 규칙을 통해 CVE 및 제로 데이 위협을 해결할 수 있습니다. 고위험 CVE로 인해 긴급 발표가 수행될 수도 있습니다. 이외에도 Enterprise 고객은 기존의 시그니처 기반 규칙을 보완하여 알려지지 않은 위협과 우회 시도를 식별하는 AI 기반 감지 기능인 WAF Attack Score에 액세스할 수 있습니다. 규칙 기반과 AI 감지의 강점을 결합하여, Cloudflare는 알려진 위협과 새로운 위협에 대한 강력한 방어 기능을 제공합니다.
결론
Cloudflare의 데이터는 CISA의 취약성 보고서를 보강할 수 있습니다. 주목할 점은 상위 두 가지 취약성을 악용하려는 시도가 나머지에 비해 몇 배나 많다는 점입니다. 조직은 제공된 목록에 따라 소프트웨어 패치 작업에 집중해야 합니다. 당연히 모든 소프트웨어는 패치를 적용해야 하며, WAF를 잘 구현하면 추가 보안을 보장하고 기본 시스템이 기존 및 향후 취약성 모두에 대해 보안을 유지할 수 있는 '시간적 여유'를 확보할 수 있습니다.