미국 사이버보안 및 인프라안보국(CISA)가 ‘알려진 악용 취약점 카탈로그(Known Exploited Vulnerabilities Catalog)’ 발표를 통해 CVE-2022-36537라고 알려진 보안 취약점을 경고했다.
사이버 보안 전문 매체 블리핑컴퓨터에 따르면, CVE-2022-36537는 원격 코드 실행(RCE) 공격에 널리 악용되었다. 현재까지 ZK 프레임워크(ZK Framework) 9.6.1 버전과 9.6.0.1 버전, 9.5.1.3 버전, 9.0.1.2 버전, 8.6.4.1 버전 등에 악용돼, 해커 세력이 AuUploader 구성요소에 특수 제작된 POST 요청을 전송하는 방식으로 민감 정보에 접근한 사실이 확인됐다.
ZK는 자바로 작성된 오픈소스 Ajax 웹 앱 프레임워크로, 웹 개발자가 최소한의 노력과 프로그래밍 지식으로 웹 애플리케이션을 위한 그래픽 사용자 인터페이스를 만들도록 한다. 모든 유형과 규모의 프로젝트에 널리 사용된다는 점에서 CISA가 발견한 이번 결함의 피해 규모가 클 것으로 보인다.
CISA는 “ZK 프레임워크 AuUploader 서브렛에는 사이버 공격 세력이 웹 컨텍스트에 있는 파일의 콘텐츠를 검색할 수 있는 지정되지 않은 취약점이 포함됐다”라고 전했다.
CISA의 경고에 앞서 NCC 그룹(NCC Group)의 Fox-IT팀이 CVE-2022-36537의 사이버 공격 악용 사례를 알리는 보고서를 발행했다. 보고서는 CVE-2022-36537가 ConnectWise R1Soft 서버 백업 매니저 소프트웨어 초기 접근 권한을 얻는 데 악용되었다고 설명했다.
이후 해커 세력은 백업 에이전트를 통해 연결된 다운스트림 시스템을 제어한다. 또, 백도어 기능이 있는 악성 데이터베이스 드라이버를 배포하는 방식으로 서버에 연결된 모든 시스템에서 명령을 실행하도록 했다.
Fox-IT팀은 지난해 11월, 전 세계로 비슷한 유형의 공격 발생 사례를 조사하기 시작했으며, 2023년 1월 9일까지 최소 286개 서버가 같은 백도어를 실행 중이라는 사실을 발견했다. 다수 PoC 악용 사례가 지난해 12월, 깃허브에 공개됐다는 점에서 이번 사이버 공격 발생 가능성은 충분히 예측할 수 있는 일이었다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[김대선 칼럼] 생(生)의 찬란한 동행과 사(死)의 품격 있는 갈무리](/news/data/2025/12/31/p1065594030678023_224_h.png)
