Protecting Against RCE Attacks Abusing WhatsUp Gold Vulnerabilities
WhatsUp Gold 원격 코드 실행(RCE) 공격
Trend Micro 연구원들이 2024년 8월 30일부터 CVE-2024-6670 및 CVE-2024-6671 취약점을 악용한 WhatsUp Gold의 원격 코드 실행(RCE) 공격 확인
2024년 8월 16일에 패치가 제공되었음에도 불구하고, 일부 조직은 패치를 신속하게 적용하지 않아 8월 30일 PoC(개념 증명) 가 공개된 직후 공격이 발생
NmPoller.exe의 악용
- 공격자들은 NmPoller.exe라는 WhatsUp Gold의 합법적인 프로세스를 악용해 악성 PowerShell 스크립트를 실행하여 원격 접속 도구(RATs) 를 다운로드하고 지속성을 확보하려고 시도
CVE-2024-6670 및 CVE-2024-6671의 취약점
- CVE-2024-6670은 SQL 인젝션을 통해 암호화된 비밀번호를 추출할 수 있는 취약점으로, 단일 사용자가 설정된 경우에만 적용됨
- 두 취약점 모두 CVSS 점수 9.8로, 원격 코드 실행이 가능한 심각한 취약점
악성 스크립트 및 도구
- 공격자들은 여러 PowerShell 스크립트를 실행하여 파일을 다운로드하고 원격 접속 도구(RATs) 를 설치하려고 했으며, 여기에는 다음과 같은 도구들이 포함됨
- Atera Agent
- Radmin
- SimpleHelp 원격 접속
- Splashtop 원격
- 공격자들은 여러 PowerShell 스크립트를 실행하여 파일을 다운로드하고 원격 접속 도구(RATs) 를 설치하려고 했으며, 여기에는 다음과 같은 도구들이 포함됨
대응 방안
- 취약점을 막기 위해 패치를 즉시 적용
- 관리 콘솔 및 API 엔드포인트는 접근 제어를 통해 보호하고, 공용 인터넷에 노출되지 않도록 해야 함
- 강력한 비밀번호를 사용하고, 네트워크 로그인에 대해 다중 인증(MFA) 을 활성화해야 함
- NmPoller.exe와 관련된 의심스러운 프로세스 생성 이벤트를 모니터링하여 유사한 공격을 탐지하고 차단해야 함
침해 지표(Indicators of Compromise, IOCs)
- 공격과 관련된 파일 경로와 URL
- C:\ProgramData\a.ps1: NmPoller.exe에 의해 실행된 의심스러운 스크립트
- hxxps://fedko[.]org/wp-includes/ID3/setup.msi: Atera Agent 및 Splashtop Remote의 설치 프로그램 호스팅
- hxxp://185.123.100[.]160/access/Remote Access-windows64-offline.exe: SimpleHelp 원격 접속 도구를 호스팅한 URL
- 공격과 관련된 파일 경로와 URL
결론
- 패치 관리는 이러한 공격을 방지하는 데 매우 중요하며, 특히 심각한 취약점일 경우 패치가 제공되는 즉시 적용하는 것을 강력히 권장
- 접근 제어와 다중 인증(MFA) 등 여러 보안 방어책을 사용하여 공격을 예방해야 함
'Kant's IT > Vulnerability' 카테고리의 다른 글
| GitLab, CE 및 EE 버전의 SAML 인증 우회 취약점 패치 발표 (0) | 2024.09.22 |
|---|---|
| Atlassian 취약점 패치(Bamboo, Bitbucket, Confluence, Crowd) (0) | 2024.09.22 |
| 이반티 VPN 취약점 공격 (2) | 2024.09.19 |
| Imperva Apache OFBiz 취약점(CVE-2024-45195) 대응 (1) | 2024.09.18 |
| AWS 인스턴스 메타데이터 서비스(IMDSv1) 취약점 (0) | 2024.09.18 |