React2Shell 취약점 급증: 140만 건 공격으로 크립토마이너와 리버스 쉘 배포

React2Shell 악용 시도 급증 감지

보안 연구진이 최근 React2Shell을 대상으로 한 악용 시도 급증을 감지했다. 지난 한 주 동안 140만 건의 공격이 기록되었으며, SecurityWeek의 보고서에 따르면 두 개의 IP 주소가 대부분의 악성 활동을 주도한 것으로 나타났다. 이들 공격은 주로 **크립토마이너(cryptominer)**와 **리버스 쉘(reverse shell)**을 배포하는 데 초점을 맞추고 있다.

공격의 기술적 세부 사항

이번 공격은 React2Shell이라는 React 기반 애플리케이션의 취약점 또는 설정 오류를 악용한다. React2Shell은 위협 행위자가 취약한 시스템에서 임의 코드를 실행할 수 있도록 허용하는 보안 문제로, 보고서에는 구체적인 CVE나 기술적 세부 사항은 언급되지 않았지만, 공격에서 전달된 페이로드에는 다음과 같은 악성 코드가 포함되어 있다:

• 크립토마이너: 시스템 리소스를 탈취해 암호화폐를 채굴하는 악성코드로, 성능 저하와 운영 비용 증가를 유발한다.
• 리버스 쉘: 공격자가 침해된 시스템에 원격으로 접속할 수 있도록 하는 기법으로, 지속적인 접근 권한을 확보해 추가 공격이나 데이터 유출을 시도한다.

단 두 개의 IP 주소에서 대부분의 공격이 발생한 점은 단일 위협 행위자 또는 그룹에 의한 조직적인 캠페인임을 시사한다.

영향 분석

일주일 동안 140만 건의 공격 시도가 발생한 것은 사이버 범죄자들이 React2Shell을 악용하는 데 큰 관심을 보이고 있음을 나타낸다. React 기반 애플리케이션이나 프레임워크를 사용하는 조직은 적절한 보안 조치가 취해지지 않을 경우 위험에 노출될 수 있다. 크립토마이너 배포는 다음과 같은 문제를 유발할 수 있다:

• 리소스 고갈로 인한 시스템 속도 저하 또는 장애 발생.
• 공격 대상 인프라의 전기료 증가.
• 규제 환경에서 채굴 활동이 탐지될 경우 규정 준수 위반 가능성.

한편, 리버스 쉘은 더 심각한 위협을 초래할 수 있다. 공격자는 이를 통해 다음과 같은 행위를 할 수 있다:

• 침해된 시스템에 지속적인 접근 권한 유지.
• 네트워크 내에서 **횡적 이동(lateral movement)**을 통해 권한 상승 시도.
• 민감 데이터 유출 또는 랜섬웨어와 같은 추가 악성코드 배포.

보안 팀을 위한 권고 사항

공격 시도 급증에 대응하기 위해 보안 전문가들은 다음 조치를 취할 것을 권장한다:

1. 취약 시스템 식별 및 패치: React 기반 애플리케이션을 감사해 React2Shell과 관련된 설정 오류나 알려진 취약점을 점검하고, 공급업체 또는 보안 권고에 따라 패치 또는 완화 조치를 적용한다.

2. 의심스러운 활동 모니터링: 네트워크 및 엔드포인트 모니터링 도구를 배포해 크립토마이닝 징후(예: 비정상적인 CPU/GPU 사용량)나 리버스 쉘 연결(예: 알려진 악성 IP로의 예상치 못한 아웃바운드 트래픽)을 탐지한다.

3. 악성 IP 차단: 공격의 대부분을 주도한 두 개의 IP가 보고서나 후속 공지에서 확인될 경우, 방화벽이나 네트워크 경계에서 해당 IP를 차단한다.

4. 최소 권한 원칙 적용: 사용자 및 애플리케이션 권한을 제한해 잠재적 침해의 영향을 최소화한다.

5. 정기적인 보안 감사 실시: 특히 React 기반 프레임워크가 주로 사용되는 웹 애플리케이션 및 클라우드 환경의 보안 정책을 정기적으로 검토하고 업데이트한다.

6. 개발팀 교육: 개발자가 React 애플리케이션을 위한 보안 코딩 관행을 숙지하도록 교육해, 악용으로 이어질 수 있는 설정 오류를 예방한다.

SecurityWeek의 보고서는 React2Shell과 유사한 취약점에 대한 사전 위협 탐지 및 대응의 중요성을 강조한다. 조직은 이러한 진화하는 위협에 대응하기 위해 보안 업데이트를 우선시하고 경계를 늦추지 말아야 한다.