VMware ESXi 샌드박스 탈출 취약점, 랜섬웨어 공격에 악용 중

VMware ESXi 취약점, 랜섬웨어 공격에 악용 확인 – CISA 경고

미국 사이버보안 및 인프라 보안국(CISA)은 랜섬웨어 그룹이 고위험 VMware ESXi 샌드박스 탈출 취약점을 적극적으로 악용하고 있다고 확인했습니다. 이 취약점은 이전 제로데이 공격에서도 악용되었으며, CISA는 수요일 Known Exploited Vulnerabilities(KEV) 카탈로그에 해당 취약점을 추가하며 조직의 신속한 패치 적용을 촉구했습니다.

CVE-2024-37085 기술적 세부 사항

CVE-2024-37085(CVSS 점수 미정)로 추적되는 이 취약점은 공격자가 게스트 가상 머신(VM)의 관리자 권한을 획득한 후 샌드박스를 탈출해 ESXi 하이퍼바이저에서 임의 코드를 실행할 수 있게 합니다. 이러한 유형의 익스플로잇은 시스템 전체 침해, 네트워크 내 횡적 이동(lateral movement), 랜섬웨어 또는 기타 악성 페이로드 배포로 이어질 수 있어 심각한 위험을 초래합니다.

VMware는 2024년 6월 보안 권고문을 통해 ESXi, Workstation, Fusion 제품의 여러 취약점에 대한 패치를 배포했습니다. 그러나 CISA가 CVE-2024-37085를 KEV 카탈로그에 포함시킨 것은 아직 패치되지 않은 시스템이 위협 행위자의 주요 표적이 되고 있음을 보여줍니다.

영향 및 위협 상황

LockBit 및 Black Basta와 같은 유명 랜섬웨어 그룹은 기업 및 클라우드 인프라에서 널리 사용되는 VMware ESXi 환경을 과거에도 공격 대상으로 삼아왔습니다. CVE-2024-37085의 악용은 공격자들이 가상화 플랫폼을 집중 공략해 최대한의 피해를 입히려는 최근 트렌드와 일치합니다.

패치되지 않은 ESXi 서버를 운영하는 조직은 다음 위험에 노출됩니다:

• 하이퍼바이저 전체 침해로 인해 호스팅된 모든 VM에 대한 제어권 상실.
• 데이터 암호화 및 유출로 인한 운영 중단 및 재정적 손실.
• 네트워크 내 횡적 이동으로 공격 범위가 확대됨.

보안 팀을 위한 권고 사항

CISA는 조직에 CVE-2024-37085 패치 적용을 즉시 우선시할 것을 촉구합니다. 추가 완화 조치로는 다음이 포함됩니다:

• 중요 VM 격리: 잠재적 피해를 제한하기 위해 보안 수준이 낮은 환경과 분리.
• ESXi 호스트 모니터링: 예기치 않은 VM 마이그레이션이나 무단 관리자 작업 등 비정상적인 활동 감시.
• 네트워크 세분화: 잠재적 침해를 containment하기 위한 네트워크 분할 구현.
• VMware 보안 권고문 확인: 관련 취약점(CVE-2024-37086, CVE-2024-37087 등)에 대한 업데이트 확인.

추가 지침은 CISA의 권고문과 VMware의 패치 문서를 참조하시기 바랍니다.

원문 보도: Sergiu Gatlan, BleepingComputer.