목차
VMware ESXi 취약점이 전 세계 20,000개 이상의 인터넷 노출 인스턴스에 영향을 미치고 있다. 이 취약점은 CVE-2024-37085로 추적되며, 인증 우회를 통해 공격자가 전체 시스템 접근 권한을 획득할 수 있게 한다. AD 그룹을 재구성하여 발생하는 이 문제는 여러 랜섬웨어 그룹에 의해 악용되고 있다. 이에 따라 VMware는 패치를 발표했으며, 조직들은 즉시 적용해야 한다.
이 블로그에서는 CVE-2024-37085의 세부 정보와 이를 악용한 공격 방식, 그리고 해당 취약점을 점검하고 대응하는 방법에 대해 다룰 것이다. 더불어 침해 지표(IoC)와 패치 적용 방법도 함께 제공하여 조직들이 신속하게 대응할 수 있도록 안내한다.
취약 제품 및 취약점
취약 제품 상세
VMware ESXi는 기업에서 널리 사용되는 하이퍼바이저로, 여러 가상 머신을 호스팅할 수 있는 기능을 제공한다. 이번에 문제가 된 취약점은 특히 Active Directory(AD)를 사용자 관리에 사용하는 환경에서 발생하며, 전 세계 약 20,000개의 인터넷 노출 인스턴스가 영향을 받는 것으로 추정된다.
VMware ESXi 취약점 CVE-2024-37085
CVE-2024-37085 인증 우회 (Authentication Bypass) 이 취약점은 AD를 통해 사용자 관리를 설정한 VMware ESXi 인스턴스에서 발생하며, 공격자가 AD 그룹(‘ESX Admins‘ 기본값)을 재구성하여 전체 시스템 접근 권한을 획득할 수 있게 한다.
- 유형 : 인증 우회 (Authentication Bypass)
- 원인 : 이 문제는 AD를 통해 사용자 관리를 설정한 경우 ‘
ESX Admins‘ 그룹이 삭제된 후 다시 생성될 때 발생한다. 공격자는 충분한 AD 권한을 가지고 있을 경우, 삭제된 ‘ESX Admins‘ 그룹을 재구성하여 전체 시스템 접근 권한을 획득할 수 있다. - 공격 방법 : 공격자는 먼저 AD에서 충분한 권한을 획득해야 하며, 그런 다음 ‘
ESX Admins‘ 그룹을 재구성하여 자신을 해당 그룹의 멤버로 추가한다. 이를 통해 모든 VMware ESXi 하이퍼바이저에 대한 관리자 권한을 확보하게 된다. - 공격 영향 : 공격 성공시, 하이퍼바이저의 전체 관리 접근 권한 획득으로 이어진다. 이는 파일 시스템 암호화 및 가상 머신(VM) 접근, 데이터 유출 또는 네트워크 내 이동 등의 심각한 결과를 초래할 수 있다.
발생 가능한 피해 및 위험성
취약점을 악용하는 공격자는 다음과 같은 피해를 일으킬 수 있다:
- 전체 관리 접근 권한 획득
공격자가 VM 및 하이퍼바이저 파일 시스템에 자유롭게 접근할 수 있게 된다. - 파일 시스템 암호화
랜섬웨어 배포 등을 통해 파일 시스템 전체를 암호화하고 비트코인 등으로 몸값을 요구할 수 있다. - 데이터 유출 및 네트워크 이동
저장된 데이터를 유출하거나 네트워크 내 다른 시스템으로 확산되는 공격 가능성이 높다.
Microsoft와 The Shadowserver Foundation에 따르면 다양한 랜섬웨어 그룹(Storm-0506, Storm-1175 등)이 이미 이 취약점을 악용하고 있으며, Akira와 Black Basta 같은 랜섬웨어가 배포되고 있다.
패치와 관련된 정보는 VMware의 공식 발표에서 확인할 수 있으며, 조직들은 즉시 패치를 적용해야 한다. VMware ESXi의 최신 보안 패치를 적용하지 않은 경우 심각한 보안 위협에 노출될 가능성이 크므로 신속하게 대응하는 것이 중요하다.
취약점 점검 및 대응
취약점 점검 방법
VMware ESXi의 CVE-2024-37085 취약점을 점검하려면 먼저 현재 사용 중인 ESXi 버전을 확인해야 한다. AD를 통해 사용자 관리를 설정한 경우 특히 주의가 필요하다.
- ESXi 버전 확인
- vSphere Client 또는 vCenter Server를 사용하여 ESXi 호스트의 버전을 확인한다.
- 명령줄에서 esxcli system version get 명령어를 실행하여 버전을 조회할 수 있다.
- AD 설정 확인
- ESXi 호스트가 AD를 통해 사용자 관리를 설정했는지 확인한다.
- Get-VMHostAuthentication PowerCLI 명령어를 사용하면 AD 인증이 활성화되어 있는지 알 수 있다.
침해 지표(IoC) 정보
현재 CVE-2024-37085와 관련된 구체적인 침해 지표(Indicators of Compromise, IoC)는 공개되지 않았다. 그러나 일반적인 랜섬웨어 공격과 관련된 IoC는 다음과 같다
- 비정상적인 계정 활동
새로운 ‘ESX Admins‘ 그룹 생성 및 계정 추가 활동. - 비정상적인 네트워크 트래픽
외부로의 데이터 전송 시도. - 파일 암호화 시도
파일 확장자 변경 및 암호화 프로그램 실행.
침해 확인시 대응 방법
침해가 의심되거나 확인된 경우 즉각적인 대응이 필요하다
- 네트워크 격리
침해된 시스템을 네트워크에서 분리하여 추가 확산을 방지한다. - 로그 분석
시스템 로그와 AD 로그를 분석하여 비정상적인 활동을 식별하고, 침입 경로를 파악한다. - 백업 복원
감염되지 않은 백업 데이터를 복원하고, 최신 보안 패치를 적용한 후 다시 운영을 시작한다.
패치 적용 또는 완화 방법
VMware는 CVE-2024-37085에 대한 패치를 발표했으며, 이를 신속하게 적용해야 한다
- 패치 다운로드 및 적용
- VMware의 공식 보안 권고문에서 최신 패치를 다운로드한다.
- vSphere Client 또는 vCenter Server를 통해 패치를 적용한다.
- 완화 조치
- 패치를 즉시 적용할 수 없는 경우, AD 그룹 관리 정책을 강화하고 불필요한 권한 부여를 제한한다.
- 네트워크 세그멘테이션과 다중 인증(MFA)을 도입하여 추가 보안을 강화할 수 있다.
- 보안 모니터링 강화
- SIEM(System Information and Event Management) 솔루션을 활용하여 실시간으로 보안 이벤트를 모니터링하고, 이상 징후 발생 시 즉각적으로 대응할 수 있도록 준비한다.
위 방법들을 통해 VMware ESXi 시스템이 안전하게 보호될 수 있으며, 랜섬웨어와 같은 심각한 위협으로부터 조직을 보호할 수 있다.
참고자료
- NVD 공식 사이트, “CVE-2024-37085”
https://nvd.nist.gov/vuln/detail/CVE-2024-37085 - CVE.org 공식 사이트, “CVE-2024-37085”
https://cve.org/CVERecord?id=CVE-2024-37085 - VMware의 공식 발표, “VMSA-CVE-2024”
https://www.vmware.com/security/advisories/VMSA-CVE-2024 - SecurityWeek.com, “Exploited Vulnerability Could Impact 20k Internet-Exposed VMware ESXi Instances”
https://www.securityweek.com/exploited-vulnerability-could-impact-20k-internet-exposed-vmware-esxi-instances/ - Microsoft 보안 블로그, “How to Defend Against Ransomware Attacks”
https://www.microsoft.com/security/blog/2020/06/30/how-to-defend-against-ransomware-attacks/