Junos OS 취약점 악용 탐지: 해커들이 POC 공개 후 Juniper 장치를 악용하여 CVE-2023-36844 원격 코드 실행 취약점을 통한 버그 체인 활용

[post-views]
8월 31, 2023 · 3 분 읽기
Junos OS 취약점 악용 탐지: 해커들이 POC 공개 후 Juniper 장치를 악용하여 CVE-2023-36844 원격 코드 실행 취약점을 통한 버그 체인 활용

적대자들이 CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, CVE-2023-3684로 추적되는 Junos OS의 J-Web 컴포넌트에서 새로 발견된 네 가지 RCE 보안 취약점을 무기화 하고 있습니다. 식별된 취약점은 함께 연결될 수 있어 공격자가 손상된 인스턴스에서 임의의 코드를 실행할 수 있습니다. Juniper JunOS 취약점을 연결하는 PoC 공격 코드의 공개 후, 사이버 방어자들은 관련된 공격 시도를 경각심 있게 인식하고 있습니다.

CVE-2023-36844 RCE 체인 공격 탐지

CVE-2023-36844 RCE 체인에 대한 개념증명(포크) 공격 코드가 웹에 공개되어 보안 전문가들은 잠재적 침입을 사전에 식별할 수 있는 맞춤형 탐지 콘텐츠가 필요합니다. SOC Prime 플랫폼은 내부 공격자가 가능할 RCE 체인 공격 시도를 탐지할 수 있는 관련 Sigma 규칙을 집계합니다.

가능한 CVE-2023-36844 (Juniper PHP 외부 변수 수정) RCE 체인 공격 시도 (프록시 통해)

이 규칙은 18개의 SIEM, EDR, XDR, 데이터 레이크 기술 형식과 호환되며 초기 접근전술을 다루는 MITRE ATT&CK 프레임워크에 연결되며, 대응 기법으로 공공 애플리케이션 익스플로잇(T1190)을 포함합니다.

기존 및 새로운 취약점에 대한 공격 시도를 탐지하는 Sigma 규칙의 전체 컬렉션을 탐험하려면 아래의 ‘탐지 탐색’ 버튼을 누르세요. 관련 탐지 알고리즘을 확보하고 CTI 및 MITRE ATT&CK 컨텍스트를 포함한 방대한 메타데이터를 탐색하십시오.

탐지 탐색

Juniper RCE 버그 체인 공격 분석

2023년 8월 19일, Juniper Networks는 RCE에 이르게 할 수 있는 Junos OS의 J-Web 컴포넌트에서 새로 발견된 네 가지 결함에 대해 방어자에게 경고하는 보안 공지를 발표했습니다. 탐지된 문제들은 Juniper EX 스위치 및 SRX 방화벽의 모든 버전에 영향을 미치며, 제공된 권장사항을 따른 뒤 사이버 방어자들의 즉각적인 주의가 필요합니다. 보안 공지.

모든 보안 버그는 중요하다고 간주되며, 누적 CVSS 점수는 9.8에 이르며 다음과 같이 그룹화될 수 있습니다:

  • CVE-2023-36844 및 CVE-2023-36845는 공격자가 중요한 환경 변수들을 제어할 수 있게 하는 PHP 외부 변수 수정 취약점입니다.
  • CVE-2023-36846 및 CVE-2023-36847은 성공적인 공격 시도시 파일 시스템의 무결성에 영향을 줄 수 있는 중요한 기능 결함에 대한 인증 누락입니다.

Juniper Networks는 이 버그 체인을 악용한 실제 필드 공격 증거가 없음을 주장했지만, 상황은 watchTowr Labs가 PoC 공격 코드를 공개한 지 불과 일주일 만에 반전되었습니다. 예를 들어, Shadowserver Foundation 팀은 CVE-2023-36844 및 기타 버그들을 무기화하고 위에서 언급한 PoC 공격 코드를 활용하는 일련의 IP에서의 공격 시도를 식별했습니다. 이러한 새로운 Juniper OS 결함을 연결하고 무기화하는 데 대한 더 많은 통찰력을 제공하기 위해 연구자들은 또한 기술 심층 분석 을 발표하여, 공격 과정에 대한 심층적인 기술 분석을 제공했습니다.

Shadowserver 팀의 연구에 따르면, 해커들은 이미 8,000개 이상의 Juniper 인스턴스를 공격했으며, 대부분의 대상은 한국에 위치해 있습니다.

잠재적 위협을 완화하기 위해 방어자들은 즉시 패치를 적용하거나 최신 JunOS 버전으로 업그레이드할 것을 권장합니다. 또한, J-Web 컴포넌트에 대한 인터넷 액세스를 즉시 비활성화하는 것은 공격 표면을 줄이는 데 도움이 될 수 있습니다.

집단 CTI에 의존하고 Uncoder AI 를 사용하여 일일 보안 운영에서 시간을 절약하면서 항상 변화하는 위협 환경의 맥박을 유지하여 동료 주도의 전문 지식을 기반으로 귀하의 연구를 쌓으세요.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

CVE-2025-8088 탐지: WinRAR 제로데이, RomCom 악성코드를 설치하기 위해 야생에서 적극적으로 악용됨
블로그, 최신 위협 — 4 분 읽기
CVE-2025-8088 탐지: WinRAR 제로데이, RomCom 악성코드를 설치하기 위해 야생에서 적극적으로 악용됨
Daryna Olyniychuk
CVE-2025-8292: Google Chrome Use After Free 취약점으로 인한 RCE 및 시스템 탈
블로그, 최신 위협 — 3 분 읽기
CVE-2025-8292: Google Chrome Use After Free 취약점으로 인한 RCE 및 시스템 탈
Daryna Olyniychuk
CVE-2025-53770 탐지: Microsoft SharePoint 제로데이 취약점, 원격 코드 실행(RCE) 공격에 적극 악용 중
블로그, 최신 위협 — 4 분 읽기
CVE-2025-53770 탐지: Microsoft SharePoint 제로데이 취약점, 원격 코드 실행(RCE) 공격에 적극 악용 중
Daryna Olyniychuk