CISA: 해커, SolarWinds Serv‑U 결함 악용해 서버 충돌 유발
미국 사이버보안 및 인프라 보안청(CISA)은 오늘 해커들이 최근에 패치된 고위험 SolarWinds Serv‑U 결함을 이용해 서버를 다운시키고 있다고 경고했습니다.
Serv‑U는 Windows와 Linux용 파일 전송 소프트웨어로, 관리형 파일 전송(MFT) 및 FTP 서버 기능을 제공하며 사용자가 HTTP/HTTPS, FTP, FTPS, SFTP를 통해 파일을 안전하게 교환할 수 있게 합니다.
SolarWinds는 이 서비스 거부(DoS) 취약점(CVE‑2026‑28318)을 해결하기 위해 목요일에 Serv‑U 15.5.4 Hotfix 1을 릴리스했으며, 이는 통제되지 않은 자원 소비 약점에서 비롯된다고 밝혔습니다.
“SolarWinds Serv‑U는 Content‑Encoding: deflate를 이용한 특수하게 조작된 POST 요청에 의해 인증 없이 서비스가 충돌할 수 있습니다.”라고 회사는 설명했습니다.
원격 공격자는 권한이 없어도 사용자 상호작용이 필요 없는 저복잡도 공격으로 이 보안 결함을 악용할 수 있습니다.
SolarWinds는 패치를 즉시 적용할 수 없는 관리자를 위해 알려진 주소에 대한 접근을 제한하고, 취약한 Serv‑U 서비스는 해당 기능을 필요로 하지 않으므로 “content‑encoding”이 포함된 모든 POST 요청을 차단할 것을 권고했습니다.
인터넷 인텔리전스 플랫폼 Shodan은 현재 **12,000개가 넘는 Serv‑U 서버가 온라인에 노출된 상태**라고 추적하고 있으며, 보안 감시 기관 Shadowserver는 **3,100개 이상**을 보고하고 있지만, 얼마나 많은 서버가 이미 패치되었는지는 알려지지 않았습니다.
.jpg)
온라인에 노출된 Serv‑U 서버 (Shodan)
SolarWinds가 취약점을 해결한 지 며칠 뒤, CISA는 **해당 취약점이 실제로 악용되고 있음을 확인**하고 **Known Exploited Vulnerabilities Catalog**에 추가했습니다. 이에 따라 연방 민간 행정 부서(Federal Civilian Executive Branch) 모든 기관은 **Binding Operational Directive (BOD) 22‑01**에 따라 6월 19일까지 서버를 패치하도록 명령받았습니다.
BOD 22‑01은 미국 정부 기관에만 적용되지만, 사이버보안청은 민간 부문을 포함한 모든 네트워크 방어자에게 CVE‑2026‑28318 공격에 대비해 가능한 한 빨리 네트워크를 보호할 것을 촉구했습니다.
“이와 같은 취약점은 악의적인 사이버 행위자들의 빈번한 공격 경로이며 연방 기업에 큰 위험을 초래합니다.”라고 CISA는 경고했습니다. “벤더 지침에 따라 완화 조치를 적용하고, 클라우드 서비스에 대한 BOD 22‑01 지침을 따르거나, 완화 조치가 제공되지 않을 경우 제품 사용을 중단하십시오.”
최근 몇 년간 여러 사이버 범죄 조직과 국가 지원 해킹 그룹이 Serv‑U 취약점을 이용해 기업 및 고객의 민감한 데이터를 탈취해 왔습니다.
예를 들어, Clop 랜섬웨어 조직은 Serv‑U 원격 코드 실행 취약점(CVE‑2021‑35211)을 이용해 **2021년 캠페인에서 기업 네트워크를 침해**했습니다. DEV‑0322 중국 해커 그룹도 2021년 7월부터 **제로데이 공격에 CVE‑2021‑35211을 활용**했습니다.
보다 최근인 2024년 6월, 사이버보안 기업 GreyNoise와 Rapid7은 Serv‑U 경로 탐색 취약점(CVE‑2024‑28995)을 **활발히 악용되고 있다고 보고**했습니다.
지난 몇 년간 CISA는 **SolarWinds 제품군 전반에 걸친 11개의 취약점을 공격에 활발히 이용되는 것으로 지정**했으며, 그 중 하나는 랜섬웨어 조직에 의해 악용되었습니다.
보안 팀은 성공적인 공격의 54%를 기록하지만 경보는 14%에 불과합니다. 나머지는 환경을 통해 눈에 띄지 않게 이동합니다.
Picus 백서는 침해 및 공격 시뮬레이션이 SIEM 및 EDR 규칙을 어떻게 테스트하여 위협이 탐지되지 않고 넘어가는 것을 방지하는지 보여줍니다.