미국 사이버 보안 및 인프라 보안 기관(CISA) 가 바라쿠다 이메일 보안 게이트웨이(ESG) 어플라이언스의 제로데이 원격 명령 주입 취약점을 노리는 지능형 지속 위협(APT) 공격을 탐지했다고 경고했다.
CISA에 따르면 이 취약점은 감염 디바이스에 십사이(Seapsy) 맬웨어 페이로드와 및 월풀(Whirlpool) 백도어를 심는 데 활용됐다.
십사이는 위협 행위자가 합법적인 바라쿠다 서비스인 ‘바라쿠다 메일 서비스’로 가장해 ESG 어플라이언스에서 임의의 명령을 실행할 수 있도록 하는 것으로 알려진 지속적이고 수동적인 바라쿠다 공격 도구다. 반면 월풀 백도어는 공격자가 명령 및 제어(C2) 서버에 전송 계층 보안(TLS) 리버스 셸을 구축해 사용하는 새로운 공격 도구이라고 할 수 있다.
CISA는 경보에서 “십사이 및 월풀 백도어를 포함한 4개의 맬웨어 샘플을 확보했다. 이 장치는 바라쿠다 ESG 취약점을 악용하는 위협 공격자에 의해 손상됐다”라고 밝혔다.
CVE-2023-2868라는 이 취약점은 5.1.3.001 ~ 9.2.0.006 버전을 실행하는 ESG 어플라이언스에서 원격 명령 실행을 허용한다.
오랜 기간 바라쿠다를 괴롭힌 CVE-2023-2868
ESG 취약점은 바라쿠다에게 악몽과도 같은 존재였다. 2022년 10월에 제로데이 취약점이 발견된 이후 악용 사례가 급증했기 때문이다.
바라쿠다는 올해 5월에 이 취약점을 발견했다고 공식적으로 보고한 후 같은 달에 패치를 배포한 바 있다. 그러나 며칠 후, 이 회사는 고객에게 패치가 적용되었더라도 취약한 어플라이언스(버전 5.1.3.001~9.2.0.006)를 교체하라고 경고했다. 몇 달이 지난 지금도 CISA는 지속적인 익스플로잇의 증거를 발견하고 있다. 바라쿠다가 이 문제를 해결하기 위해 어떤 조치를 취할지 아직 지켜봐야 하는 상태다.
한편 십사이와 월풀 외에도 바라쿠다 ESG 익스플로잇에 사용되는 몇 가지 다른 백도어 변종이 있다. 솔트워터(Saltwater), 서브마린(Submarine), 시사이드(Seaside)가 그것이다.dl-ciokorea@foundryco.com
