[KRCERT]美 CISA 발표 주요 Exploit 정보공유(Update. 2025-07-14)

내용 요약

Wing FTP Server에서 Null Byte 또는 NUL 문자 취약점이 발견되었습니다. 이 취약점은 악의적인 사용자가 임의의 Lua 코드를 사용자 세션 파일에 삽입하여 FTP 서비스 권한(기본적으로 root 또는 SYSTEM)으로 임의의 시스템 명령을 실행할 수 있게 합니다. 벤더의 지침에 따라 완화 조치를 적용하거나, 클라우드 서비스의 경우 BOD 22-01 지침을 따르거나, 완화 조치를 사용할 수 없는 경우 제품 사용을 중단해야 합니다. 취약점은 CVE-2025-47812로 등록되었으며, 2025년 7월 14일에 공개되었습니다.

핵심 포인트

• Wing FTP Server에 심각한 취약점(CVE-2025-47812) 존재
• 공격자는 루트 권한 획득 가능
• 시스템 명령어 임의 실행 가능
• 벤더 패치 또는 완화 조치 필요
• 완화 조치 없을 시 제품 사용 중단 권고

기술 세부 내용

1️⃣ Null Byte Injection 취약점 (CVE-2025-47812)

• 취약점 설명: Wing FTP Server는 사용자 세션 파일을 처리하는 과정에서 Null Byte(NUL 문자, \0)를 제대로 처리하지 못하는 취약점이 존재합니다. 공격자는 이 취약점을 악용하여 파일 경로 또는 다른 메타데이터에 Null Byte를 삽입할 수 있습니다.
• 공격 시나리오: 공격자는 Null Byte를 이용하여 악의적인 Lua 코드를 사용자 세션 파일에 삽입할 수 있습니다. Wing FTP Server가 이 파일을 파싱할 때, Null Byte 이후의 내용은 무시되도록 설계되어 있으나, 이 취약점으로 인해 Null Byte 이후의 악성 Lua 코드가 실행될 수 있습니다.
• 영향: 이 공격은 FTP 서비스 권한(기본적으로 root 또는 SYSTEM)으로 임의의 시스템 명령을 실행하는 데 사용될 수 있습니다. 이는 서버에 대한 완전한 제어 권한을 공격자에게 넘겨주는 심각한 결과를 초래합니다.
• 완화 조치: Wing FTP Server 제공 업체에서 제공하는 패치 또는 완화 조치를 적용해야 합니다. 클라우드 서비스를 사용하는 경우 BOD 22-01 지침을 준수해야 합니다. 만약 완화 조치를 사용할 수 없는 경우, 제품 사용을 중단하는 것이 권장됩니다.
• CVE: CVE-2025-47812
• 공개일: 2025-07-14
• 권고: 즉시 패치를 적용하거나 완화 조치를 취하고, 취약점 스캐너를 사용하여 서버에 이 취약점이 있는지 확인하십시오. 로그를 모니터링하여 의심스러운 활동을 감지하십시오.

2️⃣ Lua Scripting

• Wing FTP Server는 Lua 스크립팅을 지원하여 서버 기능을 확장하고 사용자 정의 기능을 구현합니다. 이 취약점은 Lua 스크립트 엔진과 사용자 제공 데이터의 상호 작용 방식에서 발생합니다. 공격자는 악의적인 Lua 코드를 주입하여 서버에서 임의의 명령을 실행할 수 있습니다.

3️⃣ BOD 22-01

• BOD 22-01은 클라우드 서비스 제공 업체와 연방 기관 간의 사이버 보안 지침입니다. 이 지침은 클라우드 서비스의 보안 및 개인 정보 보호를 보장하기 위한 요구 사항과 권장 사항을 제공합니다. 이 취약점과 관련하여 BOD 22-01은 클라우드 서비스 제공 업체가 적절한 완화 조치를 구현하고 고객에게 알릴 것을 요구합니다.

 

출처: https://knvd.krcert.or.kr/detailSecNo.do?IDX=6529