[2025년 2월] 웹 공격 동향 보고서 | MONITORAPP

Threat Intelligence Report

웹 애플리케이션 취약성, 공격, 대응 방안에 대한 최신 정보를 확인하세요.

Threat Intelligence Report 메인페이지로 돌아가기

[2025년 2월] 웹 공격 동향 보고서

 

 

 

 

 

 

 

 

 

주 단위 웹 공격 추이

주 단위 웹 공격 추이를 통해 웹 공격이 어느 시기에 많이 발생했는지 확인할 수 있습니다. 이를 바탕으로 공격이 많은 시기에 미리 웹 공격으로부터 예방 및 대응책을 마련할 수 있습니다.

 

아래 그래프는 2025년 2월을 기준으로 AIWAF에서 탐지된 웹 공격들을 보여주고 있습니다.

 

 

 

 

 

 

 

 

 

 

 

2025년 2월에는 일 평균 약 27만 건 이상의 공격이 탐지되었으며, 특히 28, 30일에 가장 많은 공격이 발생한 것을 확인 할 수 있습니다.

13일에 발생한 취약점 중 가장 많은 공격 시도된 SQL Injection의 경우 저희 AIWAF내 가장 많은 탐지 조건을 가지고 있습니다. 하지만 SQL Injection 공격의 경우 새로운 공격 유형 및 우회 방법이 많기 때문에 항시 모니터링을 진행 하고 있습니다.

 

 

공격 유형별 웹 공격 동향

탐지 로그 기반으로 공격 유형별 웹 공격 동향을 통해 한 달 동안 어떤 공격이 많았는지 확인할 수 있습니다. 이를 바탕으로 기본적인 웹 공격 대응 가이드라인을 수립함으로써 해당 공격 유형에 대한 예방 및 대응책을 마련 할 수 있습니다.

 

아래 그래프는 2025년 2월을 기준으로 AIWAF에서 탐지된 웹 공격들을 보여주고 있습니다.

 

Web Attack Trends by Rule

 

 

 

 

 

 

 

 

 

 

 

SQL Injection(36.99%) 공격 유형이 가장 많았으며, App weak(17.72%), Default page(10.43%), bad user agent(10.43%) 순으로 탐지 되었습니다.

 

SQL Injection은 OWASP 에서 1위에 랭크되어 있는 만큼 가장 다양하며 위험한 공격입니다. 사용자 요청에 따라 동적으로 데이터를 생성하는 SQL 구문에 악의적인 SQL 문을 강제로 삽입하는 공격으로 취약한 어플리케이션의 경우 비정상으로 인증을 받거나 SQL 결과값을 리턴받을 수 있습니다. 다음과 같은 구문이 쿼리값에서 발생하였다면 공격을 의심해보시기 바랍니다.

 

app weak은 공격자가 무단 액세스를 얻거나 악의 적인 작업을 수행하기 위해 악용할 수 있는 앱 내의 취약점을 나타냅니다. 이러한 취약점은 잘못된 코딩 관행, 잘못된 구성 또는 불충분한 보안 조치로 인한 경우가 이에 해당됩니다. 일반적으로 앱 프로그램 사용 시 인가된 파일을 제외하고 인가 되지 않은 파일들을 의심해 보시기 바랍니다.

 

 

최근 3개월 웹 공격 추이 그래프 요약

 

11월

 

 

 

 

 

 

 

 

 

 

 

 

 

12월

 

 

 

 

 

 

 

 

 

 

 

 

1월

 

 

 

 

 

 

 

 

 

 

 

 

 

공격자 IP Top 30

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

취약점 분석 보고서

Apache OFbiz Pre-Auth Remote Code Execution

 

1. 개요

Apache OFBiz는 무료 오픈소스 ERP로, 최근 해당 플랫폼에서 발견된 사전 인증 RCE 취약점인 CVE-2024-38856에 대해 분석한 내용을 정리하였습니다.

 

 

 

 

 

 

 

 

 

 

출처 : https://www.helpnetsecurity.com/2024/08/05/cve-2024-38856/

 

2. 공격 유형

CVE-2024-38856는 Apache OFBiz에서 발생한 사전 인증 RCE 취약점으로, 특정 URL에 대한 요청 처리 시 잘못된 인증 과정으로 인해 인증 과정을 거치지 않고 요청을 처리합니다.

 

과거 해당 과정을 활용한 취약점 CVE-2024-36104가 존재하여 패치를 진행하였으나, Sonicwall에 따르면 근본적으로 해당 기능이 수정되지 않고 Path Traversal에 대한 검사 기능을 추가하는 방식으로 대응하였기에 Path Traversal 구문 없는 URL을 전송하여 해당 패치를 우회하였습니다.

 

 

 

 

 

 

 

 

 

출처 : https://www.sonicwall.com/blog/sonicwall-discovers-second-critical-apache-ofbiz-zero-day-vulnerability

 

공격자는 페이지 뷰를 렌더링하는 ProgramExport 기능을 활용하여 특정 URL로 악성 페이로드를 groovyProgram 파라미터에 담아 전송하는 방식으로 공격을 수행합니다.

 

공격에 활용되는 URL로는 다음과 같습니다.

  • /webtools/control/forgotPassword/ProgramExport
  • /webtools/control/main/ProgramExport
  • /webtools/control/showDateTime/ProgramExport
  • /webtools/control/view/ProgramExport
  • /webtools/control/TestService/ProgramExport

 

RCE 공격 Request :

 

 

 

 

 

 

3. 대응 방안

Apache OFBiz에서는 CVE-2024-38856에 대한 패치를 발표하였기에 해당 제품 사용자는 18.12.15 버전 이상으로 패치하여 대응하여야 하며, 저희 AIWAF 제품에서 해당 취약점은 2025년 1월 패턴 업데이트에 추가된 2228: Apache OFBiz Remote Code Execution 패턴을 통해 대응하고 있습니다.

 

4. 결론

Apache OFBiz는 강력한 오픈소스 ERP로, 오픈소스라는 장점으로 인해 많은 곳에서 사용되기 때문에 해당 취약점의 경우 CISA 카테고리에 추가된 굉장히 영향력이 있고, CVSS 점수 9.8을 받은 위험한 취약점으로 확인되었기 때문에 빠르게 최신 버전으로 패치를 진행하여야 합니다.

 

저희 AIWAF 제품에서는 Apache OFBiz에서 발생하는 취약점들에 대해 패턴을 개발하여 대응하고 있으며, 앞으로도 발견되는 관련 취약점들에 대해서도 신속하게 대응할 예정입니다.

 

5. 참고 자료

https://nvd.nist.gov/vuln/detail/cve-2024-38856

https://www.rapid7.com/blog/post/2024/09/05/cve-2024-45195-apache-ofbiz-unauthenticated-remote-code-execution-fixed/

https://www.sonicwall.com/blog/sonicwall-discovers-second-critical-apache-ofbiz-zero-day-vulnerability

 

 

최신 취약점 CVE 현황

 

1. 고위험 취약점 현황 (2025.01~02)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. 고위험 취약점 설명

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Scroll Up