작년 2월, 컴퓨터 가상화 소프트웨어를 제공하는 VMware 사의 플랫폼 vSphere에서 중요 원격 코드 실행 (Remote Code Execution, RCE) 취약점이 발표되었다. VMSA-2021-0002 (CVE-2021-21972, CVE-2021-21973, CVE-2021-21974) . 이 취약점으로 인해 vSphere 를 사용하는 기업은 계정 없이도 서버에 침투할 수 있는 문제에 직면하게 되었고, 현재는 보안 패치가 나온 지 거의 1년이 지난 시점으로, 지금 이 취약점이 얼마나 많이 사라졌는지, 그렇지 않고 아직 얼마나 많은 피해가 발생할 수 있을지 Criminal IP 검색을 통해 살펴보았다.

출처 = VMware

■ 취약점으로 인한 피해도 영향

해커들은 이 취약점을 활용하면 (CVE-2021-21972) vCenter Server에 무단으로 파일을 업로드 할 수 있게 된다. 원인은 vRealize Operations vCenter 플러그인의 인증 부족에서 발생하는데, 공격자는 ID/PW 인증 없이도 vCenter 어플리케이션에 접근할 수 있는 tcp/443 port를 통해 공격을 수행할 수 있다. 이렇게 해커는 이 vCenter 관리자 페이지를 통해 vCenter Server endpoint 에 특수하게 조작된 파일을 업로드하면 무제한 RCE 권한을 얻을 수 있고, 결국 vCenter Server를 관리하는 OS에서 해커가 원하는 임의의 명령을 실행할 수 있다. 서버가 완전히 탈취 당할 수 있는 문제를 내재하고 있으므로, 해당 취약점은 CVSSv3 10점 만점에 9.8점을 받을 정도로 역대급으로 위험도가 심각한 취약점으로 평가되고 있다.

자세한 실행 방법은 https://swarm.ptsecurity.com/unauth-rce-vmware/#more-2477 해당 블로그에서 확인할 수 있다.

스크립트:  NS-Sp4ce/CVE-2021-21972QmF0c3UK/CVE-2021-21972-vCenter-6.5-7.0-RCE-POC수평선3ai/CVE-2021-21972yaunsky/CVE-1202

일반적으로 vCenter 의 관리자 페이지는 기업 내부의 인프라 조직에서만 접근 가능하도록 방화벽 설정이 되어 있다. 하지만 경우에 따라서 기업 내부에서 망 분리에 대한 정책이 탄탄하지 않을 경우, 인프라 조직이 아닌 일반 직원들조차 vCenter 의 관리자 페이지까지는 접근할 수 있고, 계정이 없는 상황에서도 직원 내부자에 의해 vCenter 서버 내부로 침투하여 중요 서버들이 탈취 당할 수 있다. 연이어 가능한 시나리오는, 해커가 보안 의식이 상대적으로 취약한 비 IT분야 직원들 (인사팀, 총무팀, 마케팅팀 등)의 PC 를 감염시킨 후, 그들의 PC 를 타고 들어와서 vCenter 로 침투하는 것도 예상할 수 있다.

하지만 이 케이스보다 더욱 심각한 것은 기업의 방화벽 설정 오류 또는 인프라 작업자, 개발자들의 실수로 vCenter 관리자 페이지가 인터넷 외부로 노출되는 경우다.  특정 기업의 vCenter 의 관리자 페이지가 보이는 tcp/443 port (https) 가 이미 인터넷 상에 노출되어 있다면, 해커들은 그 직원들의 PC 를 감염 시킬 필요 없이 외부 인터넷에서 쉽게 기업의 vCenter 로 침투할 수 있고, vCenter 로 관리되는 여러 가상 서버를 손쉽게 탈취할 수 있다.

■ vCenter 취약점에 노출되어 있는 전 세계의 취약한 서버 현황

Criminal IP (CIP) 에서는 이와 같은 취약한 서버들의 현황을 검색할 수 있다. 이 vCenter 취약점이 나온 지 1년이 다 되어가는 이 시점에서 아직도 해당 취약점을 보유한 서버들이 전 세계에 얼마나 분포되어 있는지 조사해 보았다. CIP에서  vuln: 필터를 이용하면 CVE 넘버로 취약점을 점검할 수 있고, CVE-2021-21972을 검색을 해본 결과 이 글을 쓰는 시점에서 전세계의 총 3,294개의 IP가  취약한 vCenter 를 가지고 있다는 것을 확인할 수 있었다.

이중 상위 국가는 5개로 미국, 터키, 독일, 중국, 프랑스 순으로 취약한 vCenter Server 를 운용하고 있었으며 취약한 IP 중 50%는 미국이며  터키(16%) 독일(14%)로 분포되어 있다.

Criminal IP vuln 필터를 사용해 CVE 넘버로 취약점을 점검할 수 있다. (출처. 에이아이스페라)
Criminal IP vuln 필터를 사용해 CVE 넘버로 취약점을 점검할 수 있다
Criminal IP 검색 결과로 나온 IP 주소들을 살펴보면 모두 tcp80/443 포트가 오픈되어 있다. (출처. 에이아이스페라)
취약한 vCenter Server를 운용하고 있는 국가 통계

CIP에 검색 결과로 나온 IP 주소들을 살펴보면 모두 tcp 80/443 포트가 오픈 되어 있으며, 특히 tcp/443 (https) 포트에 CVE-2021-21972 취약점이 검출이 되었다는 것을 확인할 수 있다. 또는 이런 서버들의 상당수가 CIP에서는 해당 IP의 인바운드 스코어가 Critical 등급으로 표시되고 있으며, 악성 IP로 판단하고 있다. 즉, CIP 의 악성 히스토리 연관 분석 기능에 의하여 이미 악성과 연관된 행위가 발견되고 있음을 예상할 수 있다.

아래 스크린샷에 보여지고 있는  해당 ASN name에서 보여지는 SoftLayer Technologies Inc.는  IBM에서 인수한 호스팅, 클라우드 업체이다. 저 호스팅/클라우드 서버에서는 vCenter 를 운용하고 있음을 알 수 있고, 저 vCenter 를 탈취하면 지금도 서버 내부로 침투가 가능할 수 있고, 그렇게 된다면 해커는 그 아래에 연결되어 있는 수많은 가상 서버를 추가로 해킹할 수도 있다.

Criminal IP를 통해 조회된 vCenter 운용 호스팅/클라우드 서버 (출처. 에이아이스페라)
Criminal IP 검색 결과로 나온 IP 주소들을 살펴보면 모두 tcp80/443 포트가 오픈되어 있다

■ 공격의 포인트가 되는 표면을 관리해야 하는 이유

이렇게, 취약점이 알려지고 보안 패치가 릴리즈 된 약 10개월이 지난 지금도 전세계적으로 3,294개의 취약한 vCenter Server를 발견될 정도로, 아직도 문제가 있는 서버들이 많다. 사실 이런 기업들은 중 소규모 기업일 가능성이 크며, 이런 기업들이 수동으로 보안 점검을 매일 수행하는 것은 불가능에 가깝기 때문에 방치가 된 상태일 가능성이 크다. 하지만 대기업의 경우도 무조건 안전하다고 볼 수는 없는 것이, 정기적으로 보안 점검을 하는 부지런한 대기업도 빠르게  점검을 진행해도 분기에 한번, 어떤 곳은 연에 한 번 진행하고 있는 기업도 많기 때문에 여전히 그 사이의 기간 동안 해커의 침투 문제가 가능할 수 있다.

요즘 IT 서비스나 인프라는 담당 개발자들도 예상하지 못할 정도로 변화가 심하고, 서버의 생성/폐기가 잦으며, 어플리케이션의 취약점도 자주 발생한다. 그리고 각 기업에서는 자사의 인프라 현황이나 외부 사이버 공간에서 자사 시스템이 어떤 식으로 노출되어 있는지 실시간으로 관리하지 못하는 것이 현실이다. 따라서 이 같은 vCenter 취약점이 발표된 지 1년이 가까이 지난 후에도 수천 개나 문제가 발견될 정도로 심각도가 여전하다는 사실은, 기업이 이런 문제에 능동적으로 대응하지 못하고 있거나, 보안 문제가 발생해도 모르고 있는 경우가 많다는 사실의 반증으로도 볼 수 있다.

이런 문제를 해결하기 위해서는 기업의 외부를 공격할 수 있는 포인트를 관리해야 한다. 외부 공격 포인트가 될 수 있는 중요 포트의 오픈 여부를 체크하고(RDP, SSH 등), 오픈되어 서비스 되어야만 하는 포트의 경우는 포트 오픈 여부가 아닌 취약점 존재 여부를 면밀하게 체크해야 한다. 기업에서 이런 외부 공격 포인트를 관리하는 작업을 공격표면관리(Attack Surface Management) 라고 한다.

공격표면관리는 매우 중요한 일이지만, 전통적인 보안 점검 프로세스처럼 분기나 반기에 한번 진행하는 것은 이미 해커가 들어올 충분한 시간을 주는 것이기 때문에 너무 늦다. 따라서 이것은 사람의 손이 아닌 시스템에 맡겨야 한다. 어플리케이션이 다양해지고 취약점이 등장하는 시기가 빨라짐에 따라 공격표면관리는 이미 사람의 손으로 제어할 수 없을 정도로 방대한 작업이 되어 버렸다. 참고로 CIP 에서는 ASM 이라는 솔루션을 통하여 기업의 공격 표면을 매일 자동으로 점검해 주고 있다. 변화무쌍한 IT인프라의 공격 포인트에 대해 방어하는 가장 기본적인 작업이다.

공격 표면 관리 솔루션 RMR(Risk Management Report) (출처. 에이아이스페라)
공격 표면 관리 솔루션 Criminal IP ASM
CIP에서는 RMR 솔루션을 통하여 기업의 공격 표면을 매일 자동으로 점검해주고 있다. (출처. 에이아이스페라)
Criminal IP ASM은 기업의 공격 표면을 매일 자동으로 점검한다

■ 영향 받는 서버들 및 솔루션 

이번 취약점으로 영향 받는 서버들의 버전은 vCenter Server의 플러그인 vSphere Client(HTML5) 내에서 원격 코드 실행의 취약점이 발견된 것으로 vCenter Server 제품 version, VMware Cloud Foundation 플랫폼 버전이 취약하다.

VMWare사는 현재 업그레이드가 불가능한 경우 VMware의 compatibility matrix file 을 변경하고 vRealize Operations vCenster plugin 을 비호환으로 설정하도록 발표하였다.

제공=VMWare

이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다. [Criminal IP 공식 릴리즈 노트]

[/fusion_text][/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]