[2024년 12월] 웹 공격 동향 보고서

주 단위 웹 공격 추이

주 단위 웹 공격 추이를 통해 웹 공격이 어느 시기에 많이 발생했는지 확인할 수 있습니다. 이를 바탕으로 공격이 많은 시기에 미리 웹 공격으로부터 예방 및 대응책을 마련할 수 있습니다.

아래 그래프는 2024년 12월을 기준으로 AIWAF에서 탐지된 웹 공격들을 보여주고 있습니다.

2024년 12월에는 일 평균 약 24만 건 이상의 공격이 탐지되었으며, 특히 28, 30일에 가장 많은 공격이 발생한 것을 확인 할 수 있습니다.

28일에 발생한 취약점중 가장 많은 공격 시도된 SQL Injection의 경우 저희 AIWAF내 가장 많은 탐지 조건을 가지고 있습니다. 하지만 SQL Injection 공격의 경우 새로운 공격 유형 및 우회 방법이 많기 때문에 항시 모니터링을 진행 하고 있습니다.

공격 유형별 웹 공격 동향

탐지 로그 기반으로 공격 유형별 웹 공격 동향을 통해 한 달 동안 어떤 공격이 많았는지 확인할 수 있습니다. 이를 바탕으로 기본적인 웹 공격 대응 가이드라인을 수립함으로써 해당 공격 유형에 대한 예방 및 대응책을 마련 할 수 있습니다.

아래 그래프는 2024년 12월을 기준으로 AIWAF에서 탐지된 웹 공격들을 보여주고 있습니다.

Web Attack Trends by Rule

SQL Injection(53.58%) 공격 유형이 가장 많았으며, App weak(13.27%), Default page(12.45%), Directory Traversal(8.27%) 순으로 탐지 되었습니다.

SQL Injection은 OWASP 에서 1위에 랭크되어 있는 만큼 가장 다양하며 위험한 공격입니다. 사용자 요청에 따라 동적으로 데이터를 생성하는 SQL 구문에 악의적인 SQL 문을 강제로 삽입하는 공격으로 취약한 어플리케이션의 경우 비정상으로 인증을 받거나 SQL 결과값을 리턴받을 수 있습니다. 다음과 같은 구문이 쿼리값에서 발생하였다면 공격을 의심해보시기 바랍니다.

app weak은 공격자가 무단 액세스를 얻거나 악의 적인 작업을 수행하기 위해 악용할 수 있는 앱 내의 취약점을 나타냅니다. 이러한 취약점은 잘못된 코딩 관행, 잘못된 구성 또는 불충분한 보안 조치로 인한 경우가 이에 해당됩니다. 일반적으로 앱 프로그램 사용 시 인가된 파일을 제외하고 인가 되지 않은 파일들을 의심해 보시기 바랍니다.

최근 3개월 웹 공격 추이 그래프 요약

9월

10월

11월

공격자 IP Top 30

취약점 분석 보고서

Cleo Harmony, VLTrader and LexiCom File Read/Write Vulnerability

1. 개요

Cleo는 관리형 파일 전송 솔루션을 제공하는 소프트웨어 회사로, Harmony, VLTrader and LexiCom와 같은 소프트웨어를 제공합니다. 이 Report에서는 해당 소프트웨어에서 발생한 파일 읽기 및 쓰기 취약점인 CVE-2024-50623 및 CVE-2024-55956에 대해 분석한 내용을 정리하였습니다.

출처 : https://www.helpnetsecurity.com/2024/12/10/cve-2024-50623-cleo-file-transfer-software-vulnerabilities-exploited/

2. 공격 유형

CVE-2024-50623는 Cleo Harmony, VLTrader and LexiCom 소프트웨어에서 발생한 파일 읽기 및 쓰기 취약점으로, 해당 소프트웨어의 endpoint 중 파일 동기화를 처리하는 /Synchronization endpoint의 취약한 번호 검증 방식을 활용해 조작된 VLSync 헤더를 전송하여 임의 파일 데이터를 불러오거나, 악성 Webshell을 전송하여 임의 파일 쓰기가 가능합니다.

GET 요청을 활용해 win.ini 파일 읽기 :

POST 요청을 활용해 test.txt 파일 생성하기 :

CVE-2024-55956은 CVE-2024-50623가 패치된 버전에서 발견된 파일 쓰기 취약점으로, VLSync: Multipart;l=0,Acknowledge 헤더가 포함된 요청을 보내어 악성 Webshell 내용을 임의 파일에 작성할 수 있습니다.

다만 해당 취약점은 CVE-2024-50623과는 다른 부분에서 발생한 취약점으로, 파일 쓰기만 가능하다는 점에서 차이를 보입니다.

POST 요청을 활용해 temp/hax.txt 파일 생성하기 :

3. 대응 방안

CVE-2024-50623은 Harmony, VLTrader, LexiCom 5.8.0.21 패치를 통해 대응되었으며, CVE-2024-55956은 Harmony, VLTrader, LexiCom 5.8.0.24 패치를 통해 대응되었습니다.

해당 취약점의 경우 조작된 VLSync 헤더가 포함된 요청을 전송하는 방식의 취약점으로 보여져, 저희 AIWAF 제품에서는 추가 분석을 진행하여 패턴으로 대응할 예정입니다.

4. 결론

Cleo Harmony, VLTrader and LexiCom은 관리형 파일 전송(MFT) 솔루션을 지원하는 소프트웨어로, 여러 대기업에서 사용되고 있으며 해당 취약점이 랜섬웨어 공격에 적극적으로 활용되고 있다는 CISA의 경고가 있는 만큼, 해당 소프트웨어를 사용하는 고객 및 기업은 빠르게 최신 버전으로 업데이트가 필요합니다.

저희 AIWAF 제품에서는 Cleo사에서 제공하는 소프트웨어에서 발생하는 취약점들에 대해 지속적으로 모니터링하고 있으며, 앞으로도 발견되는 관련 취약점들에 대해서도 신속하게 대응할 예정입니다.

이에 대한 대응으로는, affected versions의 최신 보안 패치를 적용하고, 서버 차원에서 접근 통제를 강화하며, 웹 애플리케이션 방화벽(WAF)을 통해 데이터를 차단하는 것이 필요합니다.

5. 참고 자료

https://labs.watchtowr.com/cleo-cve-2024-50623/

https://attackerkb.com/topics/geR0H8dgrE/cve-2024-55956/rapid7-analysis

https://socradar.io/cleo-file-transfer-vulnerabilities-cl0ps-attack-vector/