최근 WS_FTP 취약점 여러 개가 발견되면서 패치되지 않은 채 노출된 WS_FTP 서버가 랜섬웨어의 새로운 표적이 되고 있다는 뉴스가 여러 사이버 보안 언론 미디어에 의해 다뤄지고 있다. 취약한 상태로 노출된 WS_FTP 서버를 공격한 대표적인 조직은 Reichsadler라는 전문 사이버 범죄 그룹으로 밝혀졌다. 해당 그룹은 최근 WS_FTP 서버 취약점이 공개되자마자 공격을 감행한 것으로 알려졌다. WS_FTP의 개발사인 Ipswitch는 9월 23일 자체 블로그를 통해 WS_FTP 서버 취약점을 해결할 수 있는 패치 정보와 적용 방법을 공지하였다. 

WS_FTP(WinSock File Transfer Protocol)란, Ipswitch가 개발한 FTP(파일 전송 프로토콜)의 한 구현체로, 파일을 인터넷으로 전송하고 공유하는데 사용되는 소프트웨어이다. WS_FTP 서버는 시스템, 애플리케이션, 그룹과 개인 간에 정보를 안전하게 저장, 공유 및 전송하는 가장 간편한 방법이다. FTP 서버와 FTP 클라이언트로 구성된 WS_FTP는 현재 전 세계 4천만 명이 넘는 사용자들을 보유하고 있는 인기 제품이다. 

WS_FTP 취약점 공개 직후 랜섬웨어 공격 감행

최초로 취약점을 발견한 Assetnote의 보안 연구원들은 Ipswitch의 패치 공지 후, PoC(개념 증명) 익스플로잇 코드를 공개했다. 랜섬웨어를 배포하려다 실패한 사례들을 분석해 주된 공격 원인을 밝혔는데, 이는 인증되지 않은 공격자가 HTTP 요청을 통해 기본 OS에서 원격으로 명령을 실행할 수 있도록 하는 Ad hoc 전송 모듈의 .NET 역직렬화 취약점을 악용한 것이라고 한다. 이 공격으로 인해 WS_FTP 서버의 모든 버전이 영향을 받았으며 CVSS가 10인 취약점이 굉장히 심각한 CVE-2023-40044도 포함하고 있다. 

9월 27일 Ipswitch가 공식 발표한 WS_FTP 취약점 보안 패치 안내문
9월 27일 Ipswitch가 공식 발표한 WS_FTP 취약점 보안 패치 안내문

인터넷에 노출된 WS_FTP 서버 4,600 개 이상 발견 

다음은 Criminal IP Asset Search에 Product 필터를 사용해 인터넷에 연결된 WS_FTP 서버를 검색한 결과다.

Search Query: product: WS_FTP

Criminal IP Asset Search에 product 필터를 사용해 WS_FTP 서버를 찾은 결과
Criminal IP Asset Search에 product 필터를 사용해 WS_FTP 서버를 찾은 결과

외부에 노출된 WS_FTP 서버가 4,600개 이상 발견되었다. 이는 사이버 보안 매체 BleepingComputer의 기사에 인용된 통계자료 수치의 두 배가 넘는다. 

물론 외부에 노출된 WS_FTP 호스트들이 모두 WS_FTP 취약점을 보유했거나 랜섬웨어 공격에 취약한 상태인 것은 아니다. WS_FTP 서버는 그룹이나 개인 간에 파일 전송 및 저장을 위한 목적으로 사용되므로, 의도적으로 외부와 연결해 놓는 경우가 있기 때문이다. 하지만 FTP 서버 사용 목적의 특성상 상시로 긴밀한 개인 정보나 문서들이 저장되고 있으며, 보안 설정이 제대로 되어있지 않거나 사용자 ID와 비밀번호가 유출되는 경우도 있다. 이 점을 노린 해커가 불법적으로 시스템에 접근하여 랜섬웨어 공격을 시도하는 것이다.

오래된 버전의 WS_FTP를 사용하고 있는 특정 IP 주소의 Asset Search 리포트
오래된 버전의 WS_FTP를 사용하고 있는 특정 IP 주소의 Asset Search 리포트

검색 결과 중 한 서버를 확인해 보면 다섯 개의 포트가 열려있다. 이 중 FTP 서버가 가동되고 있는 21번 포트는 취약한 상태로 확인된다. 이렇게 WS_FTP 취약점을 보유한 상태로 외부에 노출되어 있다면 공격자의 접근 가능성이 높아질 수 있다.

또한, 열린 포트 정보를 보면 21번 포트의 WS_FTP 버전이 3.1.3임을 확인 할 수 있다. 현재 Ipswitch가 권장하는 WS_FTP 버전은 8.8.4이므로 해당 서버는 오래전부터 패치되지 않은 상태로 방치된 서버로 추정된다.

노출된 WS_FTP 서버 보유 국가 통계

Criminal IP의 Element Analysis 기능에서 “product: WS_FTP” 쿼리를 사용하여 인터넷에 노출된 WS_FTP 서버를 사용하는 국가 통계를 볼 수 있다. 총 70개 국가가 노출된 WS_FTP 서버를 사용 중인 것으로 확인된다. 그 중 미국이 2,834개로 가장 많이 나타났으며, 독일이 221개, 영국이 212개로 그 뒤를 이었다.

Criminal IP에 탐지된 노출된 WS_FTP 서버를 사용 중인 국가 통계

Criminal IP에 검색된 4천 개가 넘는 노출된 WS_FTP 서버 중에서 보안 패치가 적용되지 않은 서버가 대부분이었다. WS_FTP 취약점 랜섬웨어 공격은 지금도 계속되고 있으며, 랜섬웨어가 아닌 익스플로잇이 공개되어있는 수 많은 취약점들도 언제든지 해커에 의해 공격이 시도될 수 있다. 때문에, WS_FTP 서버를 운용하는 기업 및 기관에서는 권고에 따른 보안 설정과 최신 버전 패치를 적용해야 한다. Ipswitch의 공식 홈페이지에서 CVE-2023-40044를 포함한 문제가 되고 있는 취약점 보완 패치와 권고 사항을 확인할 수 있다. 

관련하여 2020년 발생한 오라클 웹로직 서버 원격코드 취약점 : CVE-2023-21839에 대한 글을 참고할 수 있다.

이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다. 

데이터 출처 : Criminal IP(https://www.criminalip.io/ko)

관련 글 : 

Oracle WebLogic RCE Vulnerability: CVE-2023-21839