최근 MOVEit 제로데이 취약점으로 인해 미국 비영리 교육 단체 National Student Clearinghouse(NSC)의 서비스를 사용하는 890개 학교 데이터 유출 사건이 화제가 되었다. 공격자들은 MOVEit 관리 파일 전송 서버를 탈취하여 이름, 생년월일, 연락처, 사회보장번호를 포함한 각종 개인정보를 손에 넣었으며, 심지어 교육기관 등록 여부, 학위 정보와 같은 일부 학교 기록까지 입수한 것으로 나타났다.
NSC는 2.2만 개가 넘는 고등학교와 3,600여 개의 대학에 서비스를 제공하는 단체로, 이번 피해의 범위도 5만 명이 넘을 정도로 데이터 유출이 심각하다.
MOVEit 제로데이 익스플로잇에 노출된 서버 찾기
MOVEit은 관리 파일 전송(Managed File Transter, MFT) 솔루션을 제공하는 소프트웨어로, 정부와 금융 기관을 포함해 수많은 단체들이 다량의 민감한 데이터를 관리하고 공유하기 위해 활용하는 도구이다.
MOVEit 솔루션을 발행하는 Progress Software사는 5월에 Clop 랜섬웨어 그룹이 악용한 MOVEit 제로데이 취약점 CVE-2023-34362을 발표했다. 발표 당일 취약점 패치를 발표했으나 이미 다량의 정보 유출이 일어났고, 미국 에너지부(Department of Energy, DOE), PwC 회계 법인, 영국항공 등이 잇달아 데이터 유출 피해 소식을 전했다. 현재 MOVEit 제로데이로 인한 피해 기관만 총 2,000개가 넘는 것으로 추정된다. 대부분의 피해 기관은 MOVEit을 사용하는 하청업체나 협업하는 공급업체와 관련이 있기 때문에 피해 구조가 복잡하여 사건 대응에 어려움을 겪고 있다.
다음은 Criminal IP Asset Search에서 MOVEit 관련 서버를 검색한 결과다.
Search Query: “MOVEit”
7만 건 이상의 MOVEit 관련 서버가 검색되었으며, 특히 Data Leak 태그가 붙은 서버가 많이 발견되었다.
Criminal IP의 Data Leak 태그는 배너에 인증정보를 비롯한 크리덴셜 유출이 탐지된 웹사이트를 나타내는 태그로, 데이터 유출에 위험한 MOVEit 서버가 다수 탐지 되었음을 알 수 있다.
태그 필터를 추가로 사용하여 “MOVEit” tag: Data Leak 를 검색하면 Data Leak 태그가 붙은 MOVEit 서버 만을 필터링할 수도 있다.
MOVEit 관련 서버 보유 국가 통계
Criminal IP의 Element Analysis 기능으로 MOVEit 관련 서버를 사용 중인 국가 통계를 확인해보았다.
총 71개 국가가 노출된 MOVEit 관련 서버를 사용 중인 것으로 보여진다. 그 중 캐나다가 8,715개로 가장 많이 나타났으며, 미국이 8,403개, 싱가포르가 8,035개로 그 뒤를 이었다.
MOVEit 제로데이 취약점 CVE-2023-34362에 대한 주요 대응 조치 방법은 아래와 같다. 자세한 지침은 Progress Software의 글에서 확인할 수 있다.
- MOVEit Transfer 환경에서 모든 HTTP 및 HTTPS 트래픽 비활성화
- 무단으로 생성된 파일과 사용자 계정 삭제
- 권장되는 보안 패치 적용 후 HTTP 및 HTTPS 트래픽 복원
- 다중 인증 활성화
관련하여 APT33의 비밀번호 스프레이 공격에 대한 글을 참고할 수 있다.
이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.
데이터 출처 : Criminal IP (https://www.criminalip.io/ko)
댓글 남기기