CVE-2022-33891 탐지: 새로운 Apache Spark 셸 명령어 삽입 취약점

최신 정보에 따르면 SOC Prime의 Detection as Code 혁신 보고서, 취약점 이용의 사전 탐지 기능은 2021-2022년 동안 상위 3대 보안 사용 사례 중 하나로, 오픈 소스 제품에 영향을 미치는 드러난 취약점 숫자가 증가하는 것과 일치합니다. 사이버 보안 연구자는 최근에 대규모 데이터 처리를 위한 오픈 소스 통합 분석 엔진인 Apache Spark의 새로운 취약점을 발표했습니다. 새로 발견된 취약점은 CVE-2022-33891로 추적되며, 개념 증명(Proof-of-Concept, PoC) 익스플로잇이 이미 GitHub에 제공되고 있습니다. 2022년 7월 18일, Apache Spark는 이 보안 공지 를 발표하여 이 취약점을 설명했으며, 이는 심각한 것으로 간주됩니다. 드러난 결함은 Apache Spark 버전 3.0.3 이하에 영향을 미쳐 공격자가 임의의 셸 명령을 실행할 수 있게 합니다. 

CVE-2022-22891 이용 시도 탐지

사이버 수비수는 SOC Prime의 플랫폼을 활용하여 전용 Sigma 규칙 을 확보하여 Apache Spark의 새로운 심각한 취약점 이용 시도를 신속하게 탐지할 수 있습니다. 이번에 발표된 CVE-2022-33891 취약점 이용 탐지는 우리의 다작 개발자인 Onur Atali 에 의해 제작되었으며, SOC Prime의 등록 사용자에게 이미 제공되고 있습니다:

CVE-2022-33891 Apache Spark 셸 명령 주입 취약점

경험 많고 노련한 개별 연구자들과 잠재적인 탐지 콘텐츠 저자는 협력적 사이버 방어에 기여하고자 하는 마음으로 위협 현상금 프로그램 에 가입하여 자신의 Sigma 및 YARA 규칙을 동종 업계 관계자들과 공유하고, 투입한 노력을 수익화할 수 있습니다. 

위의 Sigma 규칙은 18개 이상의 업계 선도 SIEM, EDR 및 XDR에 사용 가능하며, 클라우드 네이티브 및 온프레미스 솔루션을 포함합니다. 위협 가시성을 향상시키기 위해 탐지 콘텐츠 항목은 MITRE ATT&CK® 프레임워크 에 맞춰 조정되었으며, Exploit Public-Facing Application(T1190)을 기본 기법으로 하는 초기 접근 전술에 대응합니다. 

급증하는 공격량과 상대방 도구의 발전된 정교성을 고려할 때, 진화하는 위협 환경에 맞추는 것은 모든 사이버 수비수에게 시급한 도전 과제입니다. 또한, 오픈 소스 솔루션에 영향을 미치는 익스플로잇 숫자가 증가하면서 전 세계 수천 개 조직이 심각한 위협에 노출되고 있습니다. SOC Prime의 플랫폼은 관련 위협에 효과적으로 대처할 수 있도록 ‘사전 익스플로잇 탐지’ 사용 사례를 다루는 방대한 Sigma 규칙 컬렉션을 제공합니다. 즉시 25개 이상의 SIEM, EDR 및 XDR 솔루션으로 변환할 수 있는 전용 탐지 알고리즘 전체 목록에 액세스하려면 탐지 및 사냥 버튼을 클릭하세요. 

명령 주입 취약점을 검색하고 관련 위협 컨텍스트를 즉시 얻는 가장 빠른 방법을 찾고 계십니까? SOC Prime을 탐색하여 MITRE ATT&CK 참조, CTI 링크 및 더 많은 통찰력 있는 메타데이터와 함께 모든 관련 컨텍스츄얼 정보를 초 단위 검색 성능으로 찾으세요. 아래의 위협 컨텍스트 탐색 버튼을 클릭합니다.

탐지 및 사냥 위협 컨텍스트 탐색

CVE-2022-33891 분석

Apache Spark는 Scala, Java, Python을 포함한 여러 프로그래밍 언어의 고급 API를 제공합니다. 또한, SQL과 데이터프레임을 위한 Spark SQL, 기계 학습을 위한 MLlib 등 다양한 고급 도구들을 지원합니다. 

최근 공개된 Apache Spark(CVE-2022-33891) 결함은 Databricks의 사이버 보안 연구원인 Kostya Kortchinsky에 의해 보고되었습니다. 심각한 취약성 등급을 받은 이 결함은 적들이 현재 Spark 사용자로서 임의의 셸 명령 실행을 수행할 수 있게 합니다. 이 보안 문제는 Spark UI가 sparks.acls.enable 옵션을 통해 Active Control Lists(ACLs)를 가능하게 하는 능력에서 기인합니다. ACL이 활성화된 경우, HttpSecurityFilter 코드 경로는 임의 사용자 이름을 서비스하여 대리할 수 있는 능력을 제공합니다. 성공할 경우, 적은 권한 검사 기능에 도달하여 유닉스 셸 명령을 실행할 수 있습니다. 결국 임의 셸 명령 실행이 발생할 것입니다. GitHub을 통해 PoC 익스플로잇 이 이미 사용 가능한 상황에서, Spark 사용자는 가능한 한 빨리 인스턴스를 업그레이드할 것을 권장합니다.

이 결함은 Apache Spark 버전 3.0.3 및 이전 버전 뿐만 아니라 3.1.1에서 3.1.2, 3.2.0에서 3.2.1에도 영향을 미칩니다. 가능한 익스플로잇 시도로부터 인스턴스를 보호하기 위해 Apache Spark 3.1.3, 3.2.2 또는 3.3.0 유지보수 릴리스로 업그레이드할 것을 강력히 권장합니다.

새로운 위협을 앞서 나가고 사이버 보안 태세를 향상시키려면 협업 기반 사이버 방어의 힘으로 구동되는 SOC Prime의 Detection as Code 플랫폼 을 활용하십시오. 23,000명 이상의 사이버 보안 전문가로 구성된 글로벌 커뮤니티가 권장하는 고충실도 경고 및 최고 수준의 위협 탐지 쿼리를 얻으려면 Smoking Guns Sigma Rules 목록 을 적용하십시오. 모든 SOC 팀이 보유해야 하는 필수품입니다.