2024-03-28 20:55 (목)
공격자들, 심각한 소닉월 RCE 취약점 악용 중
상태바
공격자들, 심각한 소닉월 RCE 취약점 악용 중
  • hsk 기자
  • 승인 2022.01.25 17:37
이 기사를 공유합니다

지난달 패치된 SonicWall(소닉월)의 SMA(Secure Mobile Access) 게이트웨이에 영향을 미치는 심각도 높은 취약점이 현재 악용되고 있는 것으로 나타났다.

브리핑컴퓨터 보도에 따르면, Rapid7의 수석 보안 연구원인 제이콥 베인즈가 발견한 이 버그는 인증되지 않은 스택 기반 버퍼 오버플로우로 CVE-2021-20038로 추적되며, 웹 애플리케이션 방화벽이 활성화 된 경우에도 SMA 200, 210, 400, 410, 500v를 포함한 SMA 100 시리즈 어플라이언스에 영향을 미친다.

익스플로잇에 성공할 경우, 공격자는 해킹 당한 SonicWall 어플라이언스에 ‘nobody’ 사용자로 원격 코드를 실행할 수 있다.

SonicWall은 지난 12월, CVE-2021-20038 보안 업데이트를 출시하고 영향 받는 사용자들에게 가능한 빨리 패치를 적용할 것을 권고했다. 그리고 해당 결함이 in the wild에서 악용되었다는 증거는 찾지 못했다고 덧붙였다.

하지만 NCC Group의 수석 보안 컨설턴트인 리차드 워런은 위협 행위자들이 현재 in the wild에서 취약점 악용을 시도 중이라고 밝혔다. 워런은 공격자들이 SonicWall 어플라이언스의 기본 설정 비밀번호를 브루트포싱 하는 스프레잉 공격을 시도 중이라고 언급했다.

그는 트위터를 통해 “일부 공격이 CVE-2021-20038 결함 악용을 시도 중이며, 지난 며칠 간은 기본 설정 암호를 브루트포싱하는 공격도 있었다. 반드시 기본 설정 비밀번호를 업데이트 및 수정해야 한다.”고 말했다.

이러한 지속적인 공격은 아직 성공하지 못했으나 SonicWall 사용자들은 SMA 100 시리즈 어플라이언스를 패치하여 해킹 시도를 차단해야 한다. MySonicWall.com 계정에 로그인하여 이 SonicWall PSIRT 권고에 설명된 버전으로 펌웨어를 업그레이드 해야 한다.

SonicWall SMA 100 어플라이언스는 2021년 초부터 랜섬웨어 그룹의 공격 등 다수 작전의 타깃이 되어왔다. 전 세계 215개국 50만명 이상 비즈니스 고객이 SonicWall 제품을 사용하고 있으며, 그 중 많은 제품이 정부 기관 및 기업에서 사용되고 있다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★