전체메뉴

[애플경제 김예지 기자] 최근 새로 패치된 VMware ‘ESXi’의 결함을 랜섬웨어 그룹이 악용하고 있는 것으로 알려졌다. CVE-2024-37085 취약점은 ESXi 하이퍼바이저에 존재하며, 데이터를 강탈하는 맬웨어를 배포하는 데 악용될 수 있다.

ESXi 하이퍼바이저의 취약점은 지난주 VMware에서 패치한 후 드러났다. 그러나 1일 마이크로소프트는 “랜섬웨어 그룹이 관리자 권한을 얻기 위해 이미 악용하고 있다”며 주의를 당부했다. VMware ‘ESXi’는 일종의 베어 메탈 하이퍼바이저다. 베어 메탈은 하드웨어 자체에 직접 설치되는 소프트웨어를 의미한다. 베어메탈 하이퍼바이저는 가장 일반적으로 사용되는 하이퍼바이저라고 할 수 있다. 이는 중요한 서버를 포함해 서버 하드웨어에서 직접 가상 머신을 만들고 관리할 수 있다.

인증 우회 취약점, ‘CVE-2024-37085’ 악용

마이크로소프트는 랜섬웨어 그룹이 악용 사례를 경계하며, 그 자세한 수법을 공개하기도 했다. 이에 따르면 우선 CVE-2024-37085는 충분한 권한을 가로챈 악의적인 행위자가 도메인에 가입된 ESXi 호스트에 대한 전체 액세스 권한을 얻을 수 있도록 하는 ‘인증 우회 취약점’이다. 이미 구성된 ‘Active Directory’ 그룹이 삭제되고 다시 생성될 때 발생한다. 이때 ‘ESX Admins’라는 새 그룹에 추가된 모든 사용자는 기본적으로 관리자 권한을 갖게 된다. 특히 “도메인 그룹도 간단히 ‘ESX Admins’로 이름을 바꿀 수 있으며, 새 멤버나 기존 멤버는 관리자 권한을 갖게 된다.”는 설명이다.

그러나 CVE-2024-37085를 악용하려면 해커가 ‘Active Directory’ 환경에 대한 권한 있는 액세스 권한이 필요하다. 이를 위해선 미리 사이버 공격을 통해 권한을 탈취해야 한다. 흔히 많은 기업들은 사용자 관리 목적으로 ‘ESXi 호스트’를 ‘Active Directory’에 가입해야 하며, 편의성을 위해 이런 방법을 쓰고 있다. 이 점을 해커들은 악용하는 것이다.

VMware의 소유주인 ‘브로드컴’사는 일단 지난 6월 25일과 7월 25일 사이에 영향을 받은 장치에 대한 여러 가지 수정 사항을 발표했다. 이 취약성은 ‘ESXi 버전 7.0’ 및 ‘8.0’과 VMware 클라우드 파운데이션 버전 4.x와 5.x에 영향을 미친다. 그럼에도 불구하고, ‘ESXi 8.0’과 VMware 클라우드 파운데이션 5.x에만 패치가 배포된 것으로 밝혀졌다. 다만 이번의 경우 CVSS 심각도 점수는 6.8로 비교적 낮은 편이다.

“제작사 ‘패치’ 미흡, 보호 대상 버전 넓혀야” 지적

그러나 지난 7월 29일, 마이크로소프트는 “CVE-2024-37085가 Storm-0506, Storm-1175, Octo Tempest, Manatee Tempest와 같은 랜섬웨어 그룹에 의해 악용되어 Akira와 Black Basta 랜섬웨어 배포로 이어졌다”고 주장하는 보고서를 발표했다. 그럼에도 ‘브로드컴’사는 이런 악용 사례를 언급하지 않고 있다는 지적이다.

이에 마이크로소프트는 “랜섬웨어 공격에서 ‘ESXi 하이퍼바이저’에 대한 전체 관리자 권한을 탈취한다는 것은 해커가 파일 시스템을 암호화할 수 있음을 의미할 수 있으며, 이는 호스팅된 서버의 실행과 기능에 영향을 미칠 수 있다”면서 “또한 위협 행위자가 호스팅된 VM에 액세스해서 데이터를 빼내거나 네트워크 내에서 측면 이동할 수도 있다”고 경고한다.

CVE-2024-37085는 ‘Active Directory’ 도메인에 가입된 ‘ESXi 하이퍼바이저’에서 ‘ESX Admins’라는 도메인 그룹의 모든 구성원에게 전체 관리 액세스 권한을 자동으로 부여하는 데서 비롯된 취약점이다.

이처럼 자동 엑세스 권한 그룹은 존재할 수 없음에도 불구, 사이버 범죄자는 “net group 'ESX Admins' /domain /add” 명령으로 손쉽게 그런 권한 그룹을 만들 수 있다. 이 그룹의 구성원 자격은 ‘보안 식별자’(SID)가 아니라, ‘이름’으로 결정되므로 구성원을 추가하는 것도 간단하다.

더욱이 이런 방식으로 그룹을 만들 수 있는 해커는 자신이나, 자신이 제어하는 ​​다른 사용자를 그룹에 추가, 도메인에 가입된 ESXi 하이퍼바이저에 대한 전체 관리 액세스 권한으로 권한을 확대할 수도 있다.

해커들, ‘CVE-2024-37085’ 악용 수법

다시 요약하면, 사이버 범죄자는 다음 중 하나를 수행하여 CVE-2024-37085를 악용할 수 있습니다.

‘ESX Admins’라는 ‘Active Directory’ 그룹을 만들고 사용자를 추가한다. 또 도메인의 모든 그룹 이름을 ‘ESX Admins’로 바꾸고, 그룹에 사용자를 추가하거나 기존 그룹 멤버를 도용한다. 네트워크 관리자가 도메인의 다른 그룹을 할당해 ‘ESXi’를 관리하더라도, ‘ESXi Admins’의 멤버는 일정 기간 동안 관리자 권한을 유지한다는 점을 악용하기도 한다.

마이크로소프트는 “이런 방식으로 ‘ESXi 하이퍼바이저’를 겨냥한 공격에 대비한 사례가 지난 3년 동안 2배 이상 증가했다”면서 “많은 보안 제품이 ‘ESXi 하이퍼바이저’에 대한 가시성과 보호가 제한적이고, 파일 시스템에서 ‘원클릭’으로 대량 암호화를 할 수 있도록 하기 때문에 해커들의 인기를 끌고 있다”고 지적했다.

2021년 이후엔 특히 Royal, Play, Cheers, TargetCompany 등의 여러 랜섬웨어 그룹들이 아예 ‘ESXi 전용 맬웨어’를 개발하기도 했다.

실제로 올 초엔 Storm-0506 그룹이 CVE-2024-37085 취약점을 악용, 익명의 북미 엔지니어링 회사의 시스템에 ‘Black Basta’ 랜섬웨어를 배포하려고 했다. 이 그룹은 ‘Qakbot’ 감염을 통해 초기 액세스 권한을 얻은 다음. 윈도우 CLFS 권한 상승 취약점을 악용했다. 그런 다음 해커는 ‘Pypykatz’ 도구를 사용, 도메인 컨트롤러의 자격 증명을 훔친 다음 다른 조치를 통해 지속적인 액세스를 설정했다.

Storm-0506 그룹은 또 CVE-2024-37085 취약점을 악용, ESXi 하이퍼바이저에 대한 권한을 상승시켰다. 마이크로소프트는 이에 “해커들이 ‘ESX Admins’ 그룹을 만들고, ‘ESXi 파일’ 시스템을 암호화하고, 명령하기 전에 새 사용자를 추가한 것을 관찰했다”며 랜섬웨어 그룹의 이같은 수법들에 주의할 것을 당부했다.