Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보최근 국제 정세에 따른 중국발 해킹공격 분석 -Part1
작성일 2017-03-16 조회 1842

 

[출처 : http://s.weibo.com/weibo/%E4%B8%AD%E5%9C%8B%E9%BB%91%E5%AE%A2]

 

 

최근 사드 배치와 관련하여 중국 해커조직에서 디페이스(Deface) 공격을 감행하겠다고 예고한 영상이 등장했다. 현재까지 중국 판다정보국 해커들이 국내 기업은 물론 공공기관 웹사이트들에 디페이스 공격을 감행했다고 밝혔다. 중국 판다정보국(PIB: Panda Intelligence Bureau)이라고 밝힌 이들은 한국에 대한 강력한 욕설과 함께 “롯데를 보이콧하고 사드에 저항하라” "롯데는 중국에서 나가라”라는 문구 등을 남겨 놓았다.

 

현재 판다정보국의 공격을 받은 곳은 우리나라에서 개최 예정인 국제행사 관련 홈페이지를 비롯해 화장품 기업, 스포츠단 홈페이지, 교육관련 홈페이지 등으로 별도의 기준 없이 무차별적으로 진행되는 것으로 보인다.


또 다른 중국 해킹조직으로 추정되는  ‘1937cN 팀’은 교육부 산하기관 홈페이지에 디페이스 공격을 감행했다.

현재 판다정보국과 1937cN 팀의 공격을 받은 웹사이트들은 대부분 복구됐거나, 디페이스 화면에서 벗어났지만, 이처럼 공격을 받은 후, 복구하는 수동적인 대응방법만으로는 한계가 있다는 지적이 나오고 있다.

 

 

 

 

 

Apache Struts2  취약점을 이용한 공격

 

최근 공개된 Apache Struts2 Jakarta Multipart Parser RCE [CVE-2017-5638] 취약점으로 인한 국내외 피해가 심각하다. 공개된 POC를 이용해 중국산 K8_Struts2_EXP+S2-045+&+任意文件上 Tool로 제작되 일반 해커들까지 공격에 가담하고 있는 실정이다.

 

 

- 최근  Apache Struts2 취약점을 이용한 피해상황

 +일본 도세지불 사이트에서 신용카드 정보 67.6만건이 유출된 것으로 추정
 +일본 주택금융지원기관 관련 사이트에서 신용카드, 보안코드 등 개인 정보 유출-「Apache Struts 2」취약점 공격
 +일본무역진흥기구(JETRO) 사이트에 부정 액서스, 상담자의 메일주소 2만 6천 건 유출 가능성
 +일본 우정국 부정 액세스. 보낸 편지함, 메일 주소가 유출 - 「Apache Struts 2」 취약점 원인

 

 +서울시 산하기관 '마을공동체종합지원센터' 디페이스(defaced) 공격

 +평창 동계 올림픽 관련 사이트 디페이스(defaced) 공격

 +무주 세계 태권도 선수권 사이트 디페이스(defaced) 공격

 +롯데 관련 사이트 디페이스(defaced) 공격

 

 

Apache Struts2 Jakarta Multipart Parser RCE [CVE-2017-5638] 공격의 특징은 POC가 일반에 공개되기 이전에는 금전적 목적의 해킹조직의 수단이었다면, 공개 이후에는 보복성 해킹 공격의 성향을 나타내고 있다.

 

이러한 공격은 해킹조직에 의한 집단적인 공격일수도 있으나 최근 릴리즈된 K8_Struts2_EXP+S2-045+&+任意文件上 중국산 공격툴의 영향이라고 볼 수 있다.

 

 

[K8_Struts2_EXP+S2-045+&+任意文件上]

 

 

최근에 업데이트된 공격툴에는 S2-045(CVE-2017-5638)이 추가 되었으며, 기존 공개된 POC 코드와 유사한 형태의 공격 구문을 보이고 있다.

 

 

[S2-045(CVE-2017-5638) 공격 패킷]

 

 

공격자는 제공되는 툴을 이용해 커맨드 입력 방식으로 손쉽게 홈페이지 디페이스를 진행할 수 있을 뿐 아니라, Apache Struts2 관련 다른 취약점을 이용한 공격도 사용할 수 있게 다양한 취약점을 제공하고 있다.

 

 

CVE-2016-4438-s2-037 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4438)
CVE-2016-3081-s2-032 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3081)
CVE-2013-4316_s2-019 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4316)
CVE-2013-2251_s2-016 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2251)
CVE-2013-1966_s2-013 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1966)
CVE-2011-3923_s2-009 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3923)
CVE-2010-1870_s2-005 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1870)

 

 

즉, 중국의 일반 공격자들은 CVE-2017-5638 뿐만 아니라 위 툴에서 제공하는 다양한 취약점을 이용한 공격을 시도할 가능성이 크다. 제공하고 있는 모든 취약점이 Apache Struts2 관련 취약점이라 타겟에 대한 공격이 성공하지 못할 시에는 다양한 공격 조합을 구성해 시도 할 수 도 있으며, 이는 보안 관제 리소스에 많은 영향을 끼치게 된다.

 

지금 이시간에도 중국에서는 다량의 Apache Struts2 취약점 공격시도가 탐지되고 있으며, 이에 대한 대비책이 시급하다.

 

 

대응 방안

 

Apache는이 취약점을 해결하기위한 권고와 패치를 발표

 [1] https://cwiki.apache.org/confluence/display/WW/S2-045
 [2] https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32
 [3] https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1
 
해결 방안

1.취약점이 해결된 버전으로 업데이트 수행
 - Apache Struts 2.3.32 버전 [2]
 - Apache Struts 2.5.10.1 버전 [3]
2.Content-Type에 엄격한 필터링 적용 및 ognl 표현식 사용 금지
3.commons-fileupload-x.x.x.jar 파일 삭제
* 해당 파일 삭제 시 업로드 기능 사용 불가

 

Sniper-IPS는 Apache Struts2와 관련된 중국발 공격에 아래 탐지패턴으로 대응이 가능합니다.

[3432] Apache Struts2 Jakarta Multipart Parser RCE.A
[3431] Apache Struts2 Jakarta Multipart Parser RCE

[3433] Apache Struts2 REST Plugin RCE

[3434] Apache Struts2 Dynamic Method Invocation Security Bypass

[3435] Apache Struts 2 ParameterInterceptor Class OGNL RCE
[3314] Apache Struts Dynamic Method Invocation Remote Code Exe
[3315] Apache Struts Dynamic Method Invocation Remote Code Exe.A


[5864] Apache Struts2 DefaultActionMapper Remote Command Exe.C
[5865] Apache Struts2 DefaultActionMapper Remote Command Exe.D
[5866] Apache Struts2 DefaultActionMapper Remote Command Exe.E
[5871] Apache Struts2 DefaultActionMapper Remote Command Exe.F
[1740] Apache Struts2 DefaultActionMapper Remote Command Exe
[1741] Apache Struts2 DefaultActionMapper Remote Command Exe.A
[1742] Apache Struts2 DefaultActionMapper Remote Command Exe.B
[1828] Apache Struts2 DefaultActionMapper Remote Command Exe.G
[3345] Apache Struts2 DefaultActionMapper Remote Command Exe.H(8080)
[3346] Apache Struts2 DefaultActionMapper Remote Command Exe.I(8080)
[3347] Apache Struts2 DefaultActionMapper Remote Command Exe.H
[3348] Apache Struts2 DefaultActionMapper Remote Command Exe.I
[3316] Apache Struts Remote Java Servlet Code Execution
[3317] Apache Struts Remote Java Servlet Code Execution(8080)
[1865] Apache Struts URL and Anchor tag includeParams OGNL Vul.A
[1826] Apache Struts URL and Anchor tag includeParams OGNL Vul
[1515] Apache Struts2 ParametersInterceptor Remote Command Exe-1
[1516] Apache Struts2 ParametersInterceptor Remote Command Exe-2
[1685] Apache Struts2 ParametersInterceptor Remote Command Exe-3
[1686] Apache Struts2 ParametersInterceptor Remote Command Exe-4
[1687] Apache Struts2 ParametersInterceptor Remote Command Exe-5
[1688] Apache Struts2 ParametersInterceptor Remote Command Exe-6

 

 


 

첨부파일 첨부파일이 없습니다.
태그   CVE-2017-5638  Apache Struts2  K8_Struts2_EXP+S2-045  Panda Intelligence Bureau  1937cN