악성 버그, GitLab 계정을 탈취하다

사이버 범죄자들이 CVE-2023-7028 (CVSS 10)을 악용하여 GitLab 계정을 탈취하고 사용자를 계정에서 차단, 소스 코드를 도용하는 등의 행위를 저지르고 있다.

 

Credit: GitLab

 

CISA에 따르면 GitLab의 중대한 보안 취약점이 발견되어 공격받고 있다고 한다. 사이버 범죄자들이 어떤 계정의 비밀번호 재설정 이메일을 자신들이 원하는 이메일 주소로 보낼 수 있게 하여 계정 탈취의 길을 확보하는 것이다.

"이것은 공격자가 자신이 정식으로 비밀번호를 잊어버린 사용자인 것처럼 비밀번호를 재설정할 수 있게 해준다,"라고 보안 인식 대변인인 KnowBe4의 에릭 크론은 말했다. "거기서부터 계정은 사이버 범죄자의 소유가 되는 것이다."

게다가, 크론은 공격자가 침투한 GitLab 계정의 정당한 연관 이메일 주소를 변경하면 이를 통해 해당 계정 소유자가 로그인하거나 이를 다시 변경할 수 있는 암호 복구 기능을 사용할 수 없게 될 수 있다고 경고했다.

CISA는 이 CVE-2023-7028 취약점을 "GitLab Community 및 Enterprise Editions의 불적접근 제어 취약점"으로 알려진 취약점 목록에 추가했다. 이 기관은 이 버그를 최대 심각성으로 평가하여 10점 만점의 CVSS 취약점 심각도 점수를 부여했으며, 연방 민간 행정 기관(FCEB) 네트워크를 활성화된 위협에 대해 복구하도록 요구하고 있다.

Bugcrowd의 사이버 보안 선임 디렉터 인 사제브 로하니는 이 버그에 대한 공개적으로 사용 가능한 악용 방법도 있으므로 방어자들은 이에 대한 대처를 미루지 말아야 한다고 말했다.

"악용 방법 자체가 꽤 간단하기 때문에, 악용에 대한 진입 장벽이 낮다는 것을 의미한다"고 말하며 이것은 즉시 패치해야 할 취야점이라고 언급했다.

CVE-2023-7028: 자산 데이터의 코드 도용 위험

카네기 멜론 대학교의 사이버 보안 교수이자 ForAllSecure의 CEO인 데이비드 브럼리는 GitLab이 소스 코드와 자산 데이터를 저장하고 있기 때문에 기관들에게 중요한 위험 요소가 있음을 설명했다.

"공급망에 악성 코드를 삽입하는 공격자의 위험도 있지만, 이는 다른 곳에서 감지되지 않는 변경 사항을 요구한다"고 그는 설명했다. "데이터 유출은 일반적으로 다른 확인과 부딪히지 않을 것이지만, 소스 제어 플랫폼의 목적은 쉽게 코드를 전송하고 받을 수 있도록 하는 것이다."

그는 자체 GitLab 배포를 관리하는 조직은 이미 패치된 버전으로 업그레이드할 계획이 없는 경우 즉시 패치할 계획을 가져야 한다고 권고했다.

"즉시 수행할 수 없는 경우 대비하여 완화 조치를 취해야 한다"고 그는 말했다. "정기적인 암호 회전을 수행하거나 인증을 위해 별도의 식별 제공자를 사용해야 한다."

대규모 조직은 또한 사용자 활동을 기반으로 이상한 활동을 식별할 수 있는 도구를 고려해야 할 수도 있으며, 이는 감염된 계정을 격리시킬 수 있다.

MFA, 제로 트러스트가 효과적인 대응책

이러한 유형의 공격에 대한 방어는 보안 기본에 기반한다. 예를 들어, 크론은 비인가된 암호 변경과 같은 공격에 대응하는 가장 효과적인 방법 중 하나는 다단계 인증(MFA)의 사용이다. 그는 또한 MFA가 해킹이 불가능한 것은 아니지만, 계정 탈취 프로세스에 충분한 복잡성을 추가할 수 있어서 악용자들이 실패할 수 있다고 덧붙였다.

"비밀번호를 재설정할 수 있더라도 두 번째 요소 없이 로그인할 수 없게 된다"라고 그는 말했다. "이로 인해 이들은 정당한 계정 소유자를 차단할 수 없게 된다."

한편, Keeper Security의 보안 및 아키텍처 부사장인 패트릭 티켓은 계정 기반 사이버 공격을 방지하는 가장 효과적인 방법은 제로 트러스트 및 제로 지식 사이버 보안 아키텍처에 투자하는 것이라고 지적했다. 이는 사이버 범죄자의 접근을 제한하거나 완전히 방지할 수 있다.

그는 또한 IT 관리자와 보안 인력이 특권 자격 증명을 관리하고 보호하여 최소한의 권한으로 액세스를 관리하는 특권 액세스 관리(PAM) 솔루션이 필수적이라고 말했다.

"또한, 각 조직의 패치 관리 전략은 즉시 조치를 취할 수 있도록 가능성이 높은 중요한 취약점에 대한 빠른 패스를 가져야 한다"고 그는 말했다.

 

 

출처: Nathan Eddy | Dark Reading (2024년 5월 4일)