보안 패치를 적용하지 않은 오라클 미들웨어 웹로직 서버가 암호화폐 도둑 채굴에 이용됐다.
모퍼스랩 최고 연구 책임자 레나토 마리뇨는 최근 SANS 테크놀로지 인스티튜트 사이트(☞링크)를 통해 오라클 웹로직 서버에 대한 전세계적인 해킹 시도가 진행되고 있다고 경고했다.
해커들이 이용한 취약점에 대해 오라클은 이미 지난해 10월 패치를 완료(☞링크)했지만, 아직 패치를 적용하지 않은 채 사용되는 경우가 공격 대상이 됐다.
취약점을 통해 침입한 해커들은 데이터를 훔치는 대신, 서버가 암호화폐 채굴에 사용되도록 만들었다.
마리뇨의 게시글에 따르면 해커들은 722개의 취약 시스템에 ‘xmrig’라는 이름의 모네로 채굴 소프트웨어(SW) 패키지를 설치했다고 밝혔다.
SANS의 요하네스 B 울리히 연구소장은 또 다른 게시글(☞링크)을 통해 해커들은 611 모네로코인(XMR)을 이런 방법으로 취득했으며, 그 가치는 약 22만6천 달러에 이른다고 공개했다.
울리히는 “세계 곳곳에서 피해가 일어나고 있다”며 “표적 공격은 아니며 이미 공개된 취약점이기 때문에 약간의 스크립팅 기술을 가진 사람이라면 누구나 웹로직 서버 공격에 나설 있는 상황”이라고 피해확산 이유를 설명했다.
피해는 퍼블릭 클라우드 서비스에서도 발견됐다고 울리히는 밝혔다. 피해 서버 중 140개 이상이 아미존웹서비스(AWS) 퍼블릭클라우드에 있었고, 몇몇 서버는 또 다른 호스팅 서비스 및 클라우드 서비스에 있다고 공개했다. 약 30개는 오라클 클라우드 서비스에 있는 것으로도 확인했다.
울리히는 오라클 웹로직 취약점 공격이 단순히 도둑채굴에 그치지 않고 중요 데이터를 탈취하는 등 더 정교한 공격으로 이어질 가능성이 있다고 경고했다.
울리히는 웹로직 취약점을 이용해 침입한 공격자가 오라클 HR 애플리케이션인 피플소프트에 침입한 흔적을 발견했다고 설명했다.
따라서 패치가 안된 오라클 웹애플리케이션서버는 이런 도둑 채굴의 희생양이 되거나 또 다른 공격의 대상이 될 수 있어 빠른 패치 적용이 요구된다.
이미 공격 대상이 돼 채굴 프로그램이 설치된 경우 서버의 자바 프로세스가 중지되기 때문에 이상을 비교적 빨리 감지할 수 있다. 하지만, 단순히 채굴 프로그램만 삭제할 것이 아니라 추가 공격의 가능성을 염두에 두고 대비해야한다.
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20180111111803