미국 사이버보안 및 인프라 보안국(CISA)은 해커들이 Adobe ColdFusion의 중요한 취약점인 CVE-2023-26360을 이용하여 정부 서버에 초기 접근을 시도하고 있다고 경고하였습니다. 이 취약점은 Adobe ColdFusion 2018 Update 15 이하 및 2021 Update 5 이하 버전에서 임의의 코드를 실행할 수 있게 하며, Adobe가 이를 수정하기 전에 제로데이로 악용되었습니다. CISA는 이 취약점이 여전히 공격에 이용되고 있음을 경고하며, 지난 6월 두 차례의 연방 기관 시스템 사건을 예로 들었습니다.
해당 기관은 두 서버 모두 취약한 CVE에 취약한 소프트웨어의 구버전을 실행하고 있었다고 지적하였습니다. CISA는 해커들이 이 취약점을 이용하여 ColdFusion과 연관된 디렉토리 경로에 HTTP POST 명령을 사용하여 악성 소프트웨어를 배포하였다고 밝혔습니다.
첫 번째 사건은 6월 26일에 기록되었으며, 해커들은 이 취약점을 이용하여 Adobe ColdFusion v2016.0.0.3을 실행하는 서버를 침투하였습니다. 두 번째 사건은 6월 2일에 발생하였으며, 해커들은 Adobe ColdFusion v2021.0.0.2를 실행하는 서버에서 CVE-2023-26360을 악용하였습니다. 두 경우의 공격은 모두 데이터 유출이나 수평 이동을 시도하기 전에 탐지되고 차단되었으며, 침해된 자산은 24시간 이내에 중요 네트워크에서 제거되었습니다.
CISA는 이러한 공격을 정찰 작업으로 분류하였으나, 두 침투가 동일한 위협 요인에 의한 것인지는 아직 알려지지 않았습니다. 위험을 완화하기 위해 CISA는 ColdFusion을 사용 가능한 최신 버전으로 업그레이드하고, 네트워크 분할 적용, 방화벽 또는 WAF 설정, 서명된 소프트웨어 실행 정책을 시행할 것을 권장합니다.
요약
- 미국 사이버보안 및 인프라 보안국(CISA)은 Adobe ColdFusion의 중요한 취약점인 CVE-2023-26360이 해커들에 의해 악용되고 있음을 경고하였다.
- 이 취약점은 Adobe ColdFusion의 특정 버전에서 임의의 코드를 실행할 수 있게 하며, 두 차례의 연방 기관 시스템 사건에서 이용되었다.
- 두 번의 공격 모두 데이터 유출이나 수평 이동을 시도하기 전에 탐지되고 차단되었으며, 침해된 자산은 24시간 이내에 중요 네트워크에서 제거되었다.
- CISA는 이러한 공격을 정찰 작업으로 분류하였으나, 두 침투가 동일한 위협 요인에 의한 것인지는 아직 알려지지 않았다.
- CISA는 위협을 완화하기 위해 ColdFusion을 최신 버전으로 업그레이드하고, 네트워크 세분화를 적용하며, 방화벽이나 WAF를 설정하고, 서명된 소프트웨어 실행 정책을 강제하는 것을 권장하였다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.