최근 짐브라(Zimbra) 이메일 서버에서 발견된 치명적인 원격 코드 실행(RCE) 취약점(CVE-2024-45519)을 해커들이 악용해 서버에 백도어를 설치하는 공격이 활발히 진행되고 있다. 이 취약점은 공격자가 특수하게 조작된 이메일을 보내기만 하면 원격으로 코드를 실행할 수 있게 해준다. 이 문제는 보안 커뮤니티의 관심을 끌었으며, 프로프로인트와 같은 보안 기업들은 공격자들이 이미 이를 대규모로 악용하고 있음을 확인했다.
이 취약점은 짐브라의 포스트저널 서비스에 존재하며, 이 서비스는 SMTP 프로토콜을 통해 수신된 이메일을 처리한다. 공격자는 이메일의 "참조(CC)" 필드에 악성 명령을 삽입해 포스트저널 서비스가 이메일을 처리할 때 코드를 실행하도록 만들 수 있다. 이를 통해 공격자는 이메일 서버에 무단으로 접근해 데이터 탈취, 악성코드 배포, 내부 네트워크로 공격을 확산시키는 등 다양한 악의적 활동을 할 수 있다.
이 취약점은 하팡랩(HarfangLab) 보안 연구원이 처음 발견했으며 그는 이를 "대규모 악용"으로 분류했다. 또 다른 보안 기업 프루프포인트는 2024년 9월 28일에 첫 악성 활동을 포착했으며, 이는 프로젝트디스커버리 연구진이 해당 취약점에 대한 기술 보고서와 PoC(개념 증명) 공격 코드를 발표한 지 하루 만이었다.
해커들은 지메일로 위장한 이메일을 사용해 공격을 감행하고 있으며, 이메일의 참조(CC) 필드에 허위 수신자 주소와 base64로 인코딩된 명령을 포함하고 있다. 짐브라 서버가 이메일을 처리할 때 이 명령이 디코딩되어 'sh' 셸을 통해 실행된다. 그 결과, 공격자는 짐브라 서버에 웹셸을 설치하고 이를 통해 추가 명령을 실행하거나 원격 제어를 할 수 있게 된다.
이 웹셸은 HTTP 쿠키를 사용해 공격자가 지속적으로 서버를 제어할 수 있도록 설계되었다. 웹셸은 JSESSIONID 쿠키를 통해 공격자의 연결을 확인하고, 올바른 쿠키가 전달되면 또 다른 쿠키인 JACTION을 통해 base64로 인코딩된 명령을 실행한다. 이 방법을 통해 공격자는 탐지를 피하며 서버에 대한 원격 제어를 유지할 수 있다.
이 취약점의 근본 원인은 짐브라의 포스트저널 서비스에서 입력값을 제대로 검증하지 않아 발생한 포펜 함수의 취약점이었다. 짐브라는 이를 해결하기 위해 포펜 함수를 execvp로 대체했으며, 새로운 함수는 입력값을 안전하게 처리할 수 있도록 설계되었다.
현재 짐브라는 취약점이 악용되고 있는 상황을 반영해 패치를 배포했다. 패치는 Zimbra 9.0.0 Patch 41, 10.0.9, 10.1.1, 8.8.15 Patch 46 버전에서 제공되고 있으며, 짐브라는 모든 시스템 관리자들에게 최신 보안 업데이트를 즉시 적용할 것을 권고했다.
만약 시스템 업그레이드가 즉시 어려운 경우, 전문가들은 추가적인 대응 방안을 제시했다. 우선, 포스트저널 서비스가 반드시 필요하지 않은 경우 비활성화하는 것이 좋으며, 'mynetworks' 설정을 적절히 구성해 신뢰할 수 있는 IP 주소에서만 서버 접근이 가능하도록 설정하는 것이 중요하다.
보안 전문가들은 이번 취약점이 공격자들에게 빠르게 악용되고 있어 시스템의 빠른 패치가 무엇보다 중요하다고 강조했다. 보안 연구원들에 따르면, 공격자들은 패치 적용의 지연을 악용하기 위해 자동화된 공격 스크립트를 활용하고 있다고 전했다.
패치 외에도 이메일 서버 로그를 주의 깊게 모니터링해 의심스러운 SMTP 트래픽이나 비정상적인 명령 실행을 감지하는 것이 필요하다. 또한, 침입 탐지 시스템(IDS)과 이메일 필터링 솔루션을 통해 악성 이메일이 서버에 도달하기 전에 차단할 수 있는 추가 보안 조치를 마련하는 것이 좋다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★