2021년, 가장 많이 악용된 보안 취약점 15가지

2021년 가장 많이 악용된 보안 취약점 15가지

 

미국 사이버보안 전담기관 *CISA는 

5월, 2021년 사이버 공격자가 자주 악용한 상위 15개의 보안취약점과 *CVE 정보를 공개했습니다.

 

공격자들은 새로 공개된 취약점 뿐만 아니라,

이미 알려져 있는 오래된 취약점도 공격에 활용하고 있습니다.

 

*CISA(CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY)

*CVE(Common Vulnerabilities and Exposures)

 

2021년, 가장 많이 악용된 대표적인 취약점은 LOG4J와

마이크로소프트 익스체인지 서버에 영향을 미친 LOG4SHELL, PROXYSHELL, PROXYLOGON입니다.

 

VM웨어, 포티넷, 펄스 시큐어 제품에서 발견된 취약점도 있습니다

 

01. CVE-2021-44228(Log4Shell): 아파치 로그4J의 원격 코드 실행(RCE) 취약점

CVE-2021-44228 취약점은 오픈소스 로깅 프레임워크인 APACHE LOG4J 라이브러리에서 발견된 취약점으로 LOG4SHELL 취약점으로도 알려져 있습니다. 공격자는 해당 취약점을 악용해 시스템을 완전히 제어할 수 있으며, 제어한 시스템을 통해 정보탈취 · 랜섬웨어 실행 등 추가 악성행위도 가능합니다.

 

02. CVE-2021-40539: 조호 아이덴티티 매니지엔진 AD 셀프서비스 플러스(ZOHO MANAGEENGINE AD SELFSERVICE PLUS)의 RCE 취약점

CVE-2021-40539 취약점을 통해 공격자는 특수하게 조작된 요청을 보내 REST API 엔드포인트를 통해 제품에 무단으로 액세스할 수 있습니다.

 

03. CVE-2021-34523(ProxyShell): 마이크로소프트 익스체인지 서버의 권한 상승 취약점

04. CVE-2021-34473 (ProxyShell): 마이크로소프트 익스체인지 서버의 RCE 취약점

05. CVE-2021-31207(ProxyShell): 마이크로소프트 익스체인지 서버의 보안 기능 우회 취약점

MICROSOFT EXCHANGE에서 발견된 취약점으로 해당 취약점을 악용하면 원격에서 서버를 제어할 수 있고, 임의 코드 실행이 가능합니다.

 

06. CVE-2021-27065(ProxyLogon): 마이크로소프트 익스체인지 서버의 RCE 취약점

07.CVE-2021-26858(ProxyLogon): 마이크로소프트 익스체인지 서버의 권한 상승 취약점

08.CVE-2021-26857(ProxyLogon): 마이크로소프트 익스체인지 서버의 RCE 취약점

09.CVE-2021-26855(ProxyLogon): 마이크로소프트 익스체인지 서버의 보안 기능 우회 취약점

MICROSOFT는 중국 APT 그룹 HAFNIUM가 이 취약점을 통해 온-프레미스 EXCHANGE 서버에 접근하여 이메일 계정에 접근하고, 백도어를 설치했다고 발표했습니다.

 

10. CVE-2021-26084: 아틀라시안 컨플루언스 서버(ATLASSIAN CONFLUENCE SERVER)의 임의 코드 실행 취약점

CVE-2021-26084 취약점을 악용할 경우 인증되지 않은 사용자가 CONFLUENCE SERVER 또는 DATA CENTER 인스턴스에서 임의의 코드를 실행할 수 있습니다. 이 취약점은 POC가 공개 된 지 일주일 이내에 가장 일상적으로 악용되는 취약점 중 하나가 되었습니다.

 

11. CVE-2021-21972: VM웨어 V스피어 클라이언트 (VSPHERE CLIENT)의 RCE 취약점

CVE-2021-21972 취약점은 네트워크 접근 권한이 있는 공격자가 이 취약점을 악용하여 권한 제한 없이 VCENTER SERVER를 호스팅하는 기본 운영 체제에서 명령을 실행할 수 있습니다.

 

12. CVE-2020-1472(ZeroLogon): 마이크로소프트 네트로그온 원격 프로토콜(MICROSOFT NETLOGON REMOTE PROTOCOL, MS-NRPC)의 권한 상승 취약점 

CVE-2020-1472(ZEROLOGON) 취약점은 도메인 컨트롤러에 취약한 보안 채널 연결을 설정하여 발생하는 권한상승 취약점입니다. 공격자는 도메인 컨트롤러에 별도의 권한 없이 네트워크 연결만으로도 취약점을 악용할 수 있어 위험도가 매우 높습니다.

 

13. CVE-2020-0688: 마이크로소프트 익스체인지 서버의 RCE 취약점

보안업체 볼렉시티(VOLEXITY)는 CVE-2020-0688 취약점을 이용한 공격자들이 주로 정보 수집 · 웹셸 백도어 설치 · 메모리 내의 각종 공격 도구를 실행한다고 밝혔습니다. 

 

14. CVE-2019-11510: 펄스 시큐어 펄스 커넥트 시큐어(PULSE CONNECT SECURE)의 임의 파일 읽기 취약점

CVE-2019-11510 취약점은 PULSE SECURE VPN 서버에서 인증되지 않은 원격 공격자가 특수 제작된 URI를 전송해 임의의 파일 읽기 취약점이 발생하고 이로 인해 키 · 암호를 탈취할 수 있습니다.

 

15. CVE-2018-13379: 포티넷의 포티OS 및 포티프록시의 경로 탐색 취약점

CVE-2018-13379 취약점을 통해 공격자는 FORTINET VPN의 세션 관련 정보가 있는 "SSLVPN_WEBSESSION" 파일에 접근해 계정 정보와 비밀번호를 탈취할 수 있습니다. 작년 11월, 해커 포럼에 공공기관, 금융권 등이 포함된 약 50,000개의 FORTINET VPN 자격 증명 파일이 유출되어 더욱 문제가 되었습니다.

 

감사합니다.

제작 : MIR Team
문의 : mss_analysis@cyberone.kr

블로그 : https://mir.team

페이스북 : https://www.facebook.com/mirteamofficial