CVE-2024-5806 탐지: 시중에 적극적으로 악용되고 있는 Progress MOVEit Transfer의 새로운 인증 우회 취약점

6월의 사이버 위협 환경은 새로운 취약성의 공개 덕분에 뜨거워지고 있습니다. 예를 들어 CVE-2024-4577 및 CVE-2024-29849이 있습니다. 연구원들은 CVE-2024-5806으로 추적되는 Progress MOVEit Transfer의 새로운 치명적인 인증 부적절 취약성을 발견했으며, 발견 몇 시간 만에 실제로 적극적인 악용이 이루어지고 있습니다.

CVE-2024-5806 악용 시도 탐지

작년의 사건 이후로 MOVEit은 사이버 범죄자들에게 여전히 매력적인 대상이며, 대규모 기업의 내부 파일에 접근할 가능성이 공격자들에게 매우 매력적입니다. CVE-2024-5806으로 추적되는 Progress MOVEit Transfer의 새로운 취약성은 인증 우회를 초래할 수 있으며, 결함 공개 후 곧바로 실전에서 악용되면서 방어자들에게 점점 더 큰 도전 과제를 안겨주고 있습니다. 공격자들은 초기 접근을 얻기 위해 CVE-2024-5806을 무기로 삼으려고 할 수 있습니다. 집단 사이버 방어를 위한 SOC Prime 플랫폼은 잠재적인 CVE-2024-5806 악용 시도를 탐지할 수 있는 새로운 Sigma 규칙을 발표했습니다. 아래 링크를 통해 이용할 수 있는 전용 탐지 알고리즘에 즉시 접근하려면 SOC Prime 플랫폼에 로그인하십시오.

CVE-2024-5806 (MOVEIt Transfer 인증 우회) 악용 시도 가능성 (웹서버 경유)

이 Sigma 규칙은 MITRE ATT&CK ®프레임워크에 부합하며, 초기 접근 전술과 Exploit Public-Facing Application (T1190) 기법을 다룹니다. 귀하의 기술 스택에 따라 탐지는 여러 SIEM, EDR, 및 데이터 레이크 기술에 배포할 준비가 되어 있습니다.

계속 진화하는 위협 환경에 발맞추어 중대한 취약성 및 제로 데이를 악용하는 침입을 제때에 식별하려면 탐지 탐색 버튼을 클릭하여 관련 SOC 콘텐츠의 포괄적인 컬렉션을 활용하십시오.

탐지 탐색

CVE-2024-5806 분석

작년의 초조한 제로데이 CVE-2023-34362 는 Progress MOVEit Transfer에서 사이버 보안 분야에 소란을 일으켰고, 심각한 민감한 데이터 유출 위험을 고위험 조직에도 초래했습니다.

watchTowr 팀이 최근 발견한 새로운 취약성, CVE-2024-5806은 Progress MOVEit Transfer 소프트웨어에서 식별되었으며, 이 결함은 제품의 SFTP 모듈에 있으며, 공격자들이 인증을 우회하고 민감한 정보에 무단으로 접근할 수 있게 합니다. 이 취약성은 MOVEit Transfer 인스턴스 2023.0.0 버전 중 2023.0.11 이전, 2023.1.0 버전 중 2023.1.6 이전, 그리고 2024.0.0 버전 중 2024.0.2 이전에 영향을 미칩니다.

CVE-2024-5806 익스플로잇 코드가 해당 결함을 인정하는 보안 공지를 공급자가 발행한 직후 몇 시간 만에 공개되어 취약한 MOVEit 설치에 대한 공격 시도가 급증하게 되었습니다. Shadowserver Foundation 통계에 따르면 최소 1,800개의 인스턴스가 위협에 노출된 것으로 관찰되었습니다.watchTowr

The watchTowr 연구원은 두 가지 잠재적 공격 시나리오를 식별했습니다. 첫 번째로는 공격자가 사전 공격 방법을 통해 악성 SMB 서버와 유효한 사용자 이름을 이용해 ‘강제 인증’을 실행할 수 있습니다. 다른 하나는 공격자들이 시스템에서 임의의 사용자로 위장할 수 있도록 허용하는 더 위험한 공격 흐름을 보여줍니다.

CVE-2024-5806 완화 조치로서 공급자는 강력히 권장합니다 모든 MOVEit Transfer 고객들은 2023.0, 2023.1, 2024.0 버전을 사용하는 경우 즉시 최신 패치 버전으로 업그레이드하십시오.

인기 소프트웨어 솔루션에 의존하는 기업들에게 취약성 악용의 능동적인 탐지가 여전히 주요 콘텐츠 우선 사항 중 하나인 동안, 방어자들은 사이버 회복력을 향상시키기 위해 혁신적인 방법을 모색하고 있습니다. SOC Prime의 완전한 제품 제품군은 글로벌 위협 인텔리전스, 크라우드소싱, 제로 트러스트를 기반으로 하며, 생성 AI로 확장되어 조직이 신흥 사이버 공격을 예방하고 대규모로 사이버 방어 능력을 강화할 수 있도록 지원합니다.