[긴급]자바 제로데이 취약점 이용한 악성코드 주의!!!

JDT 취약점으로 원격코드 실행...이 취약점 이용한 악성코드 등장 

썬마이크로시스템즈(이하 썬)의 자바 런타임 환경(JRE)에서 원격코드를 실행하는 제로데이 취약점이 발견돼 사용자들의 주의가 요구되고 있다. 공격자는 이 취약점을 이용해 악의적인 웹 페이지를 구축하고 방문자가 방문하도록 유도해 공유된 네트워크에 위치한 악의적인 파일을 실행시킬 수 있는 것으로 확인됐다.

‘Java Web Start (JWS)’는 자바 개발자들이 ‘Java Networking Launching Protocol(*.jnlp)’ 파일에 URL을 이용하여 응용 프로그램을 실행하고 설치할 수 있는 방법을 제공한다. 썬 사는 ‘자바 6 업데이트 10 버전(Java 6 Update 10)’ 이후로 개발자들이 최종 사용자에게 응용 프로그램을 배포하기 쉽도록 ‘Java Deployment Toolkit(JDT)’이라 불리는 NPAPI 플러그인과 ActiveX 컨트롤을 배포했다. 이 툴 킷은 기본적으로 JRE에 의해 설치되며 스크립팅하기 안전한 것으로 표시돼있다.

흔히 ‘자바 런타임’이라고도 알려져 있는 JRE는 자바 응용프로그램 개발도구인 JDK의 일부이다. JRE는 자바 응용프로그램이 실행되는데 필요한 최소한의 요건을 제공하며, JVM과, 핵심적인 클래스들, 그리고 각종 지원 파일들로 구성된다.

그러나 보안업계에 따르면, 썬 사의 JDT 커맨드 라인 파라미터에 대한 적절한 검증을 수행하지 않아 임의의 명령 코드를 실행하는 것이 가능한 취약점이 존재하는 것으로 전해지고 있다.

외국에서는 이미 이 취약점을 이용해 악성코드를 전파하는 사례가 외국 유명 가사사이트에서 발견됐으며, 게다가 이 취약점을 이용한 악성코드 유포 키트도 발견돼 국내 유입도 오래 걸리지 않을 것이라는 것이 전문가들의 예상이다.

최상명 하우리 사전대응팀 연구원은 “아직 썬 사에서 이 취약점에 대한 보안업데이트를 하지 않은 상태이기 때문에, 이 취약점을 이용한 악성코드가 국내에 유입될 경우 급속도로 전파될 우려가 있어 사용자들의 각별한 주의가 필요하다”며 "의심스러운 사이트의 방문을 자제하고 백신 업데이트를 통해 최신 상태를 유지하는 것이 좋다"고 조언했다.

아울러 그는 “해당 취약점 악성코드 설치를 막기 위한 임시방편으로, 인터넷 익스플로러 사용자는 JDT 액티브엑스 컨트롤의 CLSID(클래스 식별자)인 ‘CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA’에 대해 ‘킬비트(kill bit)’ 설정을 해 익스플로러에서 해당 액티브엑스 컨트롤이 실행되지 않도록 할 수 있다”고 설명했다.

이에 대한 보다 자세한 내용은 Microsoft에서 제공하는 아래 ‘인터넷 익스플로러에서 ActiveX 컨트롤 실행을 중지하는 방법(https://support.microsoft.com/kb/240797)’을 참고하면 된다.

[오병민 기자(boan4@boannews.com)]

https://www.boannews.com/media/view.asp?page=1&gpage=1&idx=20439&search=&find=&kind=0