중국 정부가 후원하는 사이버 공격 그룹 '볼트 타이푼(Volt Typhoon)'이 버사 네트웍스(Versa Networks)의 버사 디렉터(Versa Director) 소프트웨어에서 발견된 제로데이 취약점(CVE-2024-39717)을 악용해 공격을 수행한 것으로 밝혀졌다. 이 취약점은 관리자가 버사 디렉터의 GUI에서 'Favicon 변경' 기능을 통해 PNG 이미지로 위장된 악성 파일을 업로드할 수 있게 하는 보안 허점으로, 2024년 6월 12일부터 실제로 악용되기 시작한 것으로 확인되었다.

루멘 테크놀로지스(Lumen Technologies)의 사이버 보안 연구팀인 블랙 로터스 랩스(Black Lotus Labs)에 따르면, 볼트 타이푼은 이 취약점을 이용해 'VersaMem'이라는 맞춤형 자바 기반 웹셸을 배포했으며, 이를 통해 로그인한 사용자의 평문 자격 증명을 가로채고 탈취했다. 이러한 자격 증명은 이후 인증된 사용자로 위장해 하위 네트워크에 불법적으로 접근하는 데 사용될 수 있으며, 이는 대규모 공급망 공격으로 이어질 가능성이 있다.

이번 공격은 주로 미국의 인터넷 서비스 제공업체(ISP), 관리 서비스 제공업체(MSP), IT 기업을 대상으로 이루어졌으며, 비미국계 피해자도 한 명 포함된 것으로 확인되었다. 이번 취약점 악용은 패치되지 않은 버사 디렉터 시스템을 표적으로 하는 매우 정밀한 타겟 공격으로 평가된다.

회사측은 문제 해결을 위한 패치를 배포했으며, 2015년과 2017년에 발표된 시스템 강화 및 방화벽 가이드라인을 철저히 준수할 것을 권고했다. 조직들은 즉시 Versa Director를 22.1.4 버전 이상으로 업데이트하고, 공격에 이용된 포트 4566과 4570에 대한 접근을 제한해야 한다.

[PASCON 2024] 하반기 최대 사이버보안 컨퍼런스 초대!(보안담당자 7시간 보안교육이수)

▶주최: 데일리시큐

▶후원: 개인정보보호위원회, 한국정보보호산업협회   

▶대상: 정부·공공·공기업·정부산하기관·금융·의료·교육·일반기업 개인정보보호 및 정보보안 담당자 1,000여명 (단, 현업 보안실무자 이외 프리랜서, 학생, 일반인 등은 보안과 관련 없는 자는 참석 금지)

▶일시: 2024년 9월 10일 화요일 오전 9시~오후 5시

▶장소: 더케이호텔서울 2층 가야금홀+거문고홀A 및 로비

▶인원: 개인정보보호 및 정보보안 실무자 1,000여 명

▶전시회: 국내외 최신 보안솔루션 전시회(30여개 기업 참여)

▶참가비: 무료/1일 주차권 지급/점심식사는 제공하지 않습니다.

▶보안교육: 사전등록+현장참석+설문제출자에 한해 7시간 교육이수증 발급

▶사전등록: 9월 8일 오후 5시 마감

▶사전등록링크: 클릭

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★