[데일리시큐][긴급] 온프레미스 MS 쉐어포인트 제로데이 공격 확산중…전 세계 서버 침해 사례 다수 발생

내용 요약

Microsoft SharePoint Server의 패치되지 않은 제로데이 취약점(CVE-2025-53770, CVE-2025-53771)을 악용한 공격이 확산 중입니다. 공격자는 인증 없이 악성 웹셸을 설치하고 중요 데이터에 접근할 수 있습니다. Microsoft는 패치를 배포했으며, SharePoint Server 사용자는 즉시 업데이트해야 합니다.

핵심 포인트

• 패치되지 않은 제로데이 취약점 공격으로 인증 우회 및 웹셸 설치 가능
• CVE-2025-53770과 CVE-2025-53771 두 가지 취약점 악용
• 암호화 키를 포함한 기밀 정보 유출 위험
• Microsoft에서 패치 배포, 즉각적인 업데이트 필요
• 온프레미스 SharePoint Server 대상 공격

기술 세부 내용

1️⃣ CVE-2025-53770: SharePoint Server 인증 우회 취약점

• 이 취약점을 통해 공격자는 인증 절차를 우회하여 SharePoint Server에 접근할 수 있습니다. ️➡️
• 특별한 권한 없이 서버에 접근하여 악성코드를 실행하거나 데이터를 유출할 위험이 있습니다.
• 이 취약점은 SharePoint Server의 특정 기능에서 발생하는 인증 검증 로직의 결함으로 인해 발생합니다.

2️⃣ CVE-2025-53771: SharePoint Server 원격 코드 실행 취약점

• 인증 우회 취약점(CVE-2025-53770)과 함께 악용될 경우, 공격자는 악성 웹셸을 서버에 설치할 수 있습니다.
• 웹셸은 공격자가 서버를 제어하고 원격으로 명령을 실행할 수 있게 해주는 악성 프로그램입니다.
• 웹셸을 통해 공격자는 데이터 유출, 시스템 변조, 추가적인 악성코드 설치 등 다양한 악의적인 활동을 수행할 수 있습니다.

3️⃣ 웹셸 (WebShell)

• 웹셸은 공격자가 웹 서버에 설치하는 악성 스크립트입니다.
• 주로 PHP, ASP, JSP 등 웹 서버에서 실행되는 언어로 작성됩니다.
• 공격자는 웹셸을 통해 서버에 명령을 전송하고, 그 결과를 받아볼 수 있습니다.
• 웹셸은 파일 업로드 및 다운로드, 데이터베이스 접근, 시스템 명령어 실행 등 다양한 기능을 제공할 수 있어 공격자에게 강력한 도구가 됩니다.

4️⃣ 제로데이 취약점 (Zero-day Vulnerability)

• 소프트웨어 개발자가 해당 취약점을 알고 패치를 개발하기 전에 공격자가 악용하는 취약점을 의미합니다. ⏰
• 제로데이 공격은 패치가 존재하지 않기 때문에 방어하기 매우 어렵습니다.
• 따라서 제로데이 취약점이 발견되면, 소프트웨어 개발자는 신속하게 패치를 개발하고 사용자에게 배포하여 피해를 최소화해야 합니다.

5️⃣ 온프레미스 (On-premises)

• 기업이나 조직이 자체적으로 소유하고 관리하는 데이터 센터 또는 서버에 소프트웨어를 설치하고 운영하는 방식입니다.
• 클라우드 서비스와 반대되는 개념입니다.
• 이번 공격은 온프레미스 SharePoint Server를 대상으로 하고 있으므로, 클라우드 기반 SharePoint Online 서비스 사용자는 영향을 받지 않습니다. ☁️✅

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=168131