2021.03.11

팔로알토 네트웍스, MS 익스체인지 서버 취약점 관련 대응 조치 제시

편집부 | ITWorld
팔로알토 네트웍스(www.paloaltonetworks.co.kr)는 마이크로소프트의 익스체인지 서버에서 중대한 보안 취약점 4개가 발견됐다고 발표했다. 

이번에 발견된 제로데이 취약점은 공격자가 익스체인지 서버에 접근해 장기적인 접근 권한을 보유할 수 있도록 하는 것으로, 전세계적으로 수만 곳의 조직이 이 취약점 악용의 대상이 되며 보안 패치가 제공되기 전, 2달 이내에 막대한 규모의 공격이 일어날 수 있는 것으로 알려졌다.

팔로알토 네트웍스는 지난해 인수한 공격 표면 관리 전문 기업 익스팬스 플랫폼을 통해 원격 측정 결과를 수집해, 전세계 12만 5,000개 이상의 서버가 패치 되지 않은 상태라고 밝혔다.



팔로알토 네트웍스는 익스체인지 서버 취약점과 관련된 악의적인 활동이 급증함에 따라 위협을 평가하고 이해할 수 있도록 공격 기법을 시각화한 ‘아톰 뷰어(Unit 42 ATOM Viewer)’를 제공하고, 필요한 경우 사고 대응 팀을 통해 지원하고 있다. 

이와 함께 팔로알토 네트웍스는 잠재적인 위협에 대응하기 위한 4단계 플레이북 ▲패치 대상 버전 점검 ▲패치 설치 및 보안 확보 ▲보안 침해 여부 확인 ▲사고 대응 팀과 협력을 제시했다.

제로데이 취약점이 해당되는 서버는 2013, 2016, 2019 버전이며, 익스체인지 온라인은 영향을 받지 않는다. 2010은 2013, 2016, 2019와 같은 공격 체인에서는 취약하지 않지만, 마이크로소프트는 이 버전에 대한 CVE-2021-26857 패치를 릴리즈 한 바 있다. 마이크로소프트에서는 외부/인터넷에 연결된 서버를 우선적으로 다루되 모든 익스체인지 서버에 업데이트를 설치할 것을 권장하고 있다. 

대역외(out-of-band) 보안 업데이트를 설치해야 하는데, 즉시 업데이트 및 패치를 실행할 수 없는 경우, 공격 가능성을 줄일 수 있는 몇 가지 완화 조치를 취할 수 있는데, 이러한 작업은 패치를 완료할 때까지 일시적이어야 한다. 팔로알토 네트웍스 차세대 방화벽의 위협 선제 방어(Threat Prevention) 콘텐트 팩 8380 및 이후 버전에서는 익스체인지 서버의 인바운드 트래픽에 대해 SSL 암호 해독을 사용하도록 설정한 경우 이러한 취약점으로부터 보호할 수 있다. 

이러한 취약점이 활동하게 된 시점은 한 달 전이며, 가장 빠르게 나타난 공격 징후는 1월 3일경이다. 취약한 소프트웨어를 보유한 조직에서는 모두 서버가 손상되었는지 확인해야 하며, 시스템을 패치하더라도 이미 시스템에 배포된 악성코드는 제거할 수 없다. 아웃룩 웹 액세스(Outlook Web Access) 및 익스체인지 웹 서비스(Exchange Web Services)가 인터넷에 노출된 경우 공격을 입지 않았다고 입증하기 어렵다면, 침해되었을 가능성이 높다.

익스체인지 서버가 침해되었다고 판단되는 경우 어떤 시점에서든 이 취약성에 대한 보호 조치를 즉각 취해야 한다고 업체 측은 설명했다. 추가적인 시스템 피해를 막을 수 있기 때문이다. 대역외 보안 업데이트를 설치하는 것이 가장 중요하지만, 이미 설치된 악성코드와 네트워크에 이미 존재하게 된 위협 요인들은 제거할 수 없다. editor@itworld.co.kr


2021.03.11

팔로알토 네트웍스, MS 익스체인지 서버 취약점 관련 대응 조치 제시

편집부 | ITWorld
팔로알토 네트웍스(www.paloaltonetworks.co.kr)는 마이크로소프트의 익스체인지 서버에서 중대한 보안 취약점 4개가 발견됐다고 발표했다. 

이번에 발견된 제로데이 취약점은 공격자가 익스체인지 서버에 접근해 장기적인 접근 권한을 보유할 수 있도록 하는 것으로, 전세계적으로 수만 곳의 조직이 이 취약점 악용의 대상이 되며 보안 패치가 제공되기 전, 2달 이내에 막대한 규모의 공격이 일어날 수 있는 것으로 알려졌다.

팔로알토 네트웍스는 지난해 인수한 공격 표면 관리 전문 기업 익스팬스 플랫폼을 통해 원격 측정 결과를 수집해, 전세계 12만 5,000개 이상의 서버가 패치 되지 않은 상태라고 밝혔다.



팔로알토 네트웍스는 익스체인지 서버 취약점과 관련된 악의적인 활동이 급증함에 따라 위협을 평가하고 이해할 수 있도록 공격 기법을 시각화한 ‘아톰 뷰어(Unit 42 ATOM Viewer)’를 제공하고, 필요한 경우 사고 대응 팀을 통해 지원하고 있다. 

이와 함께 팔로알토 네트웍스는 잠재적인 위협에 대응하기 위한 4단계 플레이북 ▲패치 대상 버전 점검 ▲패치 설치 및 보안 확보 ▲보안 침해 여부 확인 ▲사고 대응 팀과 협력을 제시했다.

제로데이 취약점이 해당되는 서버는 2013, 2016, 2019 버전이며, 익스체인지 온라인은 영향을 받지 않는다. 2010은 2013, 2016, 2019와 같은 공격 체인에서는 취약하지 않지만, 마이크로소프트는 이 버전에 대한 CVE-2021-26857 패치를 릴리즈 한 바 있다. 마이크로소프트에서는 외부/인터넷에 연결된 서버를 우선적으로 다루되 모든 익스체인지 서버에 업데이트를 설치할 것을 권장하고 있다. 

대역외(out-of-band) 보안 업데이트를 설치해야 하는데, 즉시 업데이트 및 패치를 실행할 수 없는 경우, 공격 가능성을 줄일 수 있는 몇 가지 완화 조치를 취할 수 있는데, 이러한 작업은 패치를 완료할 때까지 일시적이어야 한다. 팔로알토 네트웍스 차세대 방화벽의 위협 선제 방어(Threat Prevention) 콘텐트 팩 8380 및 이후 버전에서는 익스체인지 서버의 인바운드 트래픽에 대해 SSL 암호 해독을 사용하도록 설정한 경우 이러한 취약점으로부터 보호할 수 있다. 

이러한 취약점이 활동하게 된 시점은 한 달 전이며, 가장 빠르게 나타난 공격 징후는 1월 3일경이다. 취약한 소프트웨어를 보유한 조직에서는 모두 서버가 손상되었는지 확인해야 하며, 시스템을 패치하더라도 이미 시스템에 배포된 악성코드는 제거할 수 없다. 아웃룩 웹 액세스(Outlook Web Access) 및 익스체인지 웹 서비스(Exchange Web Services)가 인터넷에 노출된 경우 공격을 입지 않았다고 입증하기 어렵다면, 침해되었을 가능성이 높다.

익스체인지 서버가 침해되었다고 판단되는 경우 어떤 시점에서든 이 취약성에 대한 보호 조치를 즉각 취해야 한다고 업체 측은 설명했다. 추가적인 시스템 피해를 막을 수 있기 때문이다. 대역외 보안 업데이트를 설치하는 것이 가장 중요하지만, 이미 설치된 악성코드와 네트워크에 이미 존재하게 된 위협 요인들은 제거할 수 없다. editor@itworld.co.kr


X