CVE-2024-1212로 알려진 주요 보안 결함이 Progress Kemp LoadMaster에서 발견되었습니다. 이 취약점으로 인해 무단 공격자가 인증 없이 LoadMaster 관리 인터페이스를 통해 시스템 명령을 실행할 수 있습니다. 이 취약점은 CVSS 척도에서 10.0점으로 가장 높은 심각도 등급을 부여받았으며, 이로 인해 사용자는 심각한 악용 위험에 처하게 됩니다.
LoadMaster의 악용된 취약성은 네트워크를 위험에 빠뜨립니다. 아직 패치가 완료되었습니까?
Rhino 보안 연구소는 LoadMaster API 구현의 취약점으로 인해 사전 인증 명령 주입이 가능하다고 발표했습니다. 익숙하지 않은 분들을 위해 말씀드리자면, LoadMaster는 다양한 버전으로 제공되는 로드 밸런서 유형으로 널리 사용되는 무료 옵션입니다. 문제는 ‘ /access’ 및 ‘ /accessv2’ 엔드포인트에 API 요청이 이루어질 때 발생합니다. min-httpd 서버는 공격자가 조작한 데이터가 시스템 명령에 삽입될 수 있도록 하는 방식으로 요청을 처리합니다.
보다 정확하게는 해커가 /access 엔드포인트에 API 활성화 명령을 보내면 시스템은 API 활성화 상태와 관련된 중요한 확인 단계를 우회합니다. 데이터는 Authorization 헤더에서 직접 읽히므로 공격자가 ‘username’ 값을 조작할 수 있습니다. 삽입된 문자열은 REMOTE_USER 환경 변수에 배치된 다음 bash 셸에서 명령을 실행하는 system() 호출로 전달됩니다. 놀랍게도 API가 꺼진 경우에도 취약성은 활성 상태로 유지되어 불안할 정도로 광범위한 악용 기회를 제공합니다.
이 취약점을 조사하는 동안 LoadMaster가 두 개의 API 함수로 구성되어 있다는 사실이 밝혀졌습니다. 최신 v2 API는 /accessv2 엔드포인트를 사용하여 JSON 데이터 요청을 처리합니다. 그럼에도 불구하고 분명한 차이가 있습니다. 동시에 비밀번호 변수도 변경될 수 있습니다. 취약한 명령 실행 경로로 전달되기 전에 입력은 base64로 인코딩되어 이 방법을 통한 악용을 방지합니다.
또한 아포스트로피가 포함된 입력 문자열을 줄여 보안 취약점을 해결하는 수정 사항이 적용되었습니다. 이는 시스템이 명령을 처리하기 전에 유해할 수 있는 따옴표가 제거되어 삽입 시도를 방지함을 나타냅니다.
CISA(사이버보안 및 인프라 보안국)는 최근 CVE-2024-1212의 분류를 적극적으로 악용되고 있는 알려진 취약점으로 업그레이드하여 상황의 긴급성을 더욱 부각시켰습니다. 취약점이 발견된 이후 해커들은 실제 상황에서 이를 악용하기 시작했으며, 제공된 업데이트를 설치하기 위해 Progress Kemp LoadMaster를 활용하는 조직의 중요성을 강조했습니다. Progress Software는 2024년 2월에 이 취약점을 해결했지만 악용될 위험은 여전히 상당합니다.
CISA는 연방 민간 행정부 기관이 2024년 12월 9일까지 이 취약점을 해결하여 문제의 심각성을 강조할 것을 제안했습니다. 기관은 악용에 성공할 경우 공격자가 LoadMaster 인터페이스에 무제한으로 액세스하여 네트워크 동작을 조작할 수 있다고 경고했습니다.
또한 이러한 발전은 VMware vCenter Server(CVE-2024-38812 및 CVE-2024-38813)에서 발견된 취약점과 같은 더 많은 취약점에 대한 경고와 일치합니다. 활발하게 악용되는 이러한 취약점은 조직이 사이버 보안 방어를 강화해야 할 필요성을 강조합니다. Tenable VM, Tenable SC, Tenable Nessus와 같은 안정적인 도구를 사용하면 사용자는 즉시 패치를 설치하고 취약성 테스트를 수행하여 시스템을 보호할 수 있습니다.
이미지 크레딧: 푸르칸 데미르카야/플럭스 AI
해커가 인증 없이 LoadMaster를 제어할 수 있는 방법이라는 게시물이 TechBriefly에 처음 게재되었습니다.
Source: 해커가 인증 없이 LoadMaster를 제어하는 방법