2021.03.11

팔로알토 네트웍스, MS 익스체인지 서버 취약점 관련 대응 조치 제시

편집부 | CIO KR
팔로알토 네트웍스가 마이크로소프트의 익스체인지 서버에서 중대한 보안 취약점 4개가 발견됐다고 발표했다. 

이번에 발견된 제로데이 취약점은 공격자가 익스체인지 서버에 접근해 장기적인 접근 권한을 보유할 수 있도록 하는 것으로, 전 세계 수만 곳의 조직이 이 취약점 악용의 대상이 되며 보안 패치가 제공되기 전, 2달 이내에 막대한 규모의 공격이 일어날 수 있는 것으로 알려졌다.

팔로알토 네트웍스는 지난해 인수한 공격 표면 관리 전문 기업 익스팬스 플랫폼을 통해 원격 측정 결과를 수집해, 전 세계 12만 5,000개 이상의 서버가 패치 되지 않은 상태라고 밝혔다.



팔로알토 네트웍스는 익스체인지 서버 취약점과 관련된 악의적인 활동이 급증함에 따라 위협을 평가하고 이해할 수 있도록 공격 기법을 시각화한 ‘아톰 뷰어(Unit 42 ATOM Viewer)’를 제공하고, 필요한 경우 사고 대응 팀을 통해 지원하고 있다. 

이와 함께 팔로알토 네트웍스는 잠재적인 위협에 대응하기 위한 4단계 플레이북 ▲패치 대상 버전 점검 ▲패치 설치 및 보안 확보 ▲보안 침해 여부 확인 ▲사고 대응 팀과 협력을 제시했다.

제로데이 취약점이 해당되는 서버는 2013, 2016, 2019 버전이며, 익스체인지 온라인은 영향을 받지 않는다. 2010은 2013, 2016, 2019와 같은 공격 체인에서는 취약하지 않지만, 마이크로소프트는 이 버전에 대한 CVE-2021-26857 패치를 릴리즈 한 바 있다. 마이크로소프트에서는 외부/인터넷에 연결된 서버를 우선적으로 다루되 모든 익스체인지 서버에 업데이트를 설치할 것을 권장하고 있다. 

대역외(out-of-band) 보안 업데이트를 설치해야 하는데, 즉시 업데이트 및 패치를 실행할 수 없는 경우, 공격 가능성을 줄일 수 있는 몇 가지 완화 조치를 취할 수 있는데, 이러한 작업은 패치를 완료할 때까지 일시적이어야 한다. 팔로알토 네트웍스 차세대 방화벽의 위협 선제 방어(Threat Prevention) 콘텐트 팩 8380 및 이후 버전에서는 익스체인지 서버의 인바운드 트래픽에 대해 SSL 암호 해독을 사용하도록 설정한 경우 이러한 취약점으로부터 보호할 수 있다. 

이러한 취약점이 활동하게 된 시점은 한 달 전이며, 가장 빠르게 나타난 공격 징후는 1월 3일경이다. 취약한 소프트웨어를 보유한 조직에서는 모두 서버가 손상되었는지 확인해야 하며, 시스템을 패치하더라도 이미 시스템에 배포된 멀웨어는 제거할 수 없다. 아웃룩 웹 액세스(Outlook Web Access) 및 익스체인지 웹 서비스(Exchange Web Services)가 인터넷에 노출된 경우 공격을 입지 않았다고 입증하기 어렵다면, 침해되었을 가능성이 높다.

익스체인지 서버가 침해되었다고 판단되는 경우 어떤 시점에서든 이 취약성에 대한 보호 조치를 즉각 취해야 한다고 업체 측은 설명했다. 추가적인 시스템 피해를 막을 수 있기 때문이다. 대역외 보안 업데이트를 설치하는 것이 가장 중요하지만, 이미 설치된 멀웨어 및 네트워크에 이미 존재하게 된 위협 요인들은 제거할 수 없다. ciokr@idg.co.kr



2021.03.11

팔로알토 네트웍스, MS 익스체인지 서버 취약점 관련 대응 조치 제시

편집부 | CIO KR
팔로알토 네트웍스가 마이크로소프트의 익스체인지 서버에서 중대한 보안 취약점 4개가 발견됐다고 발표했다. 

이번에 발견된 제로데이 취약점은 공격자가 익스체인지 서버에 접근해 장기적인 접근 권한을 보유할 수 있도록 하는 것으로, 전 세계 수만 곳의 조직이 이 취약점 악용의 대상이 되며 보안 패치가 제공되기 전, 2달 이내에 막대한 규모의 공격이 일어날 수 있는 것으로 알려졌다.

팔로알토 네트웍스는 지난해 인수한 공격 표면 관리 전문 기업 익스팬스 플랫폼을 통해 원격 측정 결과를 수집해, 전 세계 12만 5,000개 이상의 서버가 패치 되지 않은 상태라고 밝혔다.



팔로알토 네트웍스는 익스체인지 서버 취약점과 관련된 악의적인 활동이 급증함에 따라 위협을 평가하고 이해할 수 있도록 공격 기법을 시각화한 ‘아톰 뷰어(Unit 42 ATOM Viewer)’를 제공하고, 필요한 경우 사고 대응 팀을 통해 지원하고 있다. 

이와 함께 팔로알토 네트웍스는 잠재적인 위협에 대응하기 위한 4단계 플레이북 ▲패치 대상 버전 점검 ▲패치 설치 및 보안 확보 ▲보안 침해 여부 확인 ▲사고 대응 팀과 협력을 제시했다.

제로데이 취약점이 해당되는 서버는 2013, 2016, 2019 버전이며, 익스체인지 온라인은 영향을 받지 않는다. 2010은 2013, 2016, 2019와 같은 공격 체인에서는 취약하지 않지만, 마이크로소프트는 이 버전에 대한 CVE-2021-26857 패치를 릴리즈 한 바 있다. 마이크로소프트에서는 외부/인터넷에 연결된 서버를 우선적으로 다루되 모든 익스체인지 서버에 업데이트를 설치할 것을 권장하고 있다. 

대역외(out-of-band) 보안 업데이트를 설치해야 하는데, 즉시 업데이트 및 패치를 실행할 수 없는 경우, 공격 가능성을 줄일 수 있는 몇 가지 완화 조치를 취할 수 있는데, 이러한 작업은 패치를 완료할 때까지 일시적이어야 한다. 팔로알토 네트웍스 차세대 방화벽의 위협 선제 방어(Threat Prevention) 콘텐트 팩 8380 및 이후 버전에서는 익스체인지 서버의 인바운드 트래픽에 대해 SSL 암호 해독을 사용하도록 설정한 경우 이러한 취약점으로부터 보호할 수 있다. 

이러한 취약점이 활동하게 된 시점은 한 달 전이며, 가장 빠르게 나타난 공격 징후는 1월 3일경이다. 취약한 소프트웨어를 보유한 조직에서는 모두 서버가 손상되었는지 확인해야 하며, 시스템을 패치하더라도 이미 시스템에 배포된 멀웨어는 제거할 수 없다. 아웃룩 웹 액세스(Outlook Web Access) 및 익스체인지 웹 서비스(Exchange Web Services)가 인터넷에 노출된 경우 공격을 입지 않았다고 입증하기 어렵다면, 침해되었을 가능성이 높다.

익스체인지 서버가 침해되었다고 판단되는 경우 어떤 시점에서든 이 취약성에 대한 보호 조치를 즉각 취해야 한다고 업체 측은 설명했다. 추가적인 시스템 피해를 막을 수 있기 때문이다. 대역외 보안 업데이트를 설치하는 것이 가장 중요하지만, 이미 설치된 멀웨어 및 네트워크에 이미 존재하게 된 위협 요인들은 제거할 수 없다. ciokr@idg.co.kr

X