중국 APT 그룹에 악용된 시스코 중대 취약점, 긴급 패치 배포

중국 위협 행위자에 악용된 시스코 제로데이 취약점 패치

시스코(Cisco)는 중국 고급 지속 위협(APT) 그룹 UAT-9686에 의해 실제 공격에서 악용된 중대 취약점 CVE-2024-20399를 해결하기 위한 보안 업데이트를 배포했습니다. 이 취약점은 특정 인터넷 노출 포트를 가진 취약한 시스코 장비에 AquaShell 백도어를 배포하는 데 악용되었습니다.

기술적 세부 사항

이 취약점은 CVE-2024-20399로 추적되며, 취약한 소프트웨어 버전을 실행하는 시스코 장비에 영향을 미칩니다. 시스코는 아직 전체 기술적 세부 사항을 공개하지 않았지만, 이 취약점은 비인가 접근 및 임의 명령 실행에 악용되었습니다. 이후 AquaShell 백도어라는 경량 악성코드가 지속성을 유지하고 추가 침해를 용이하게 하기 위해 배포되었습니다.

공격 벡터는 특정 포트가 인터넷에 노출되어 있어야 했으며, 이는 부적절한 네트워크 세분화 및 잘못 구성된 경계 방어의 위험성을 강조합니다.

영향 분석

UAT-9686에 의한 CVE-2024-20399 악용은 네트워크 인프라를 표적으로 하는 국가 지원 공격자의 지속적인 위협을 강조합니다. AquaShell 백도어는 위협 행위자가 다음을 수행할 수 있게 합니다:

• 침해된 시스템에서 원격 명령 실행
• 민감한 데이터 유출
• 네트워크 내 횡적 이동을 위한 거점 확보

시스코 장비가 기업 및 정부 환경에서 광범위하게 사용됨에 따라, 노출된 장비를 보유한 조직에는 상당한 위험이 존재합니다.

권고 사항

시스코는 고객에게 즉시 사용 가능한 패치를 적용하여 악용 위험을 완화할 것을 강력히 권고합니다. 보안 팀은 또한 다음을 수행해야 합니다:

• 네트워크 구성 감사를 통해 불필요한 포트가 인터넷에 노출되지 않도록 확인
• 비정상적인 명령 실행이나 네트워크 트래픽 등 침해 징후 모니터링
• 로그 검토를 통해 AquaShell 활동 지표(예: 비정상적인 프로세스 실행 또는 알려진 명령 및 제어(C2) 서버와의 연결) 확인

조직은 자세한 패치 지침 및 추가 완화 조치를 위해 시스코의 보안 권고를 따르도록 권장합니다.

추가 분석은 SecurityWeek의 원본 보고서를 참조하시기 바랍니다.