보안 이슈 2023-02-17
미 CISA는 활발하게 악용되는 것으로 알려진 취약점 목록을 공개한다. Know Exploited Vulnerabilities라고 불리우는 이 취약점 목록에는 870여개의 취약점이 포함되어 있다. 우리는 인텔리전스 기반으로 국내에 해당 취약점이 노출된 시스템이 얼마나 되는지 알아보기로 하였다.
인텔리전스 기반 통계 분석
<그림> 취약점 별 노출된 국내 서버 비중
우리는 먼저 870여개 취약점을 대상으로 인텔리전스에서 식별가능한 취약점을 확인 해 보았다. 인텔리전스의 경우 대부분의 취약점 점검이 앱 버전 및 기타 수동/커스터마이징 방법을 통해 이루어지기 때문에 식별가능한 취약점이 제한된다. 인텔리전스 확인 결과 취약점 870여개 중 44개의 취약점을 식별할 수 있었다.
[표] 국내 취약 서버 취약점 TOP 10
취약점 |
설명 |
국내 취약 서버 (대) |
CVE-2021-40438 |
Apache 취약점 |
123,385 |
CVE-2019-0211 |
Apache 취약점 |
27,647 |
CVE-2012-1823 |
PHP 취약점 |
19,356 |
CVE-2014-0160 |
OpenSSL Heartbleed |
11,178 |
CVE-2019-11043 |
PHP 취약점 |
5,319 |
CVE-2015-1635 |
IIS 취약점 |
4,918 |
CVE-2019-0708 |
BlueKeep RDP |
4,630 |
CVE-2020-0796 |
SMB 취약점 |
1,907 |
CVE-2020-1938 |
Apache 취약점 |
1,341 |
CVE-2017-7269 |
IIS6.0 취약점 |
468 |
44개 취약점 중 CVE-2021-40438 이 123,385대로 가장 많았으며, CVE-2019-0211 과 CVE-2012-1823 취약점이 각각 27647대, 19,356대로 그 뒤를 따랐다.
<그림> 취약점 연도별 노출된 국내 서버 비중
취약점 연도별로 살펴보면 2021년 발생한 취약점에 노출된 시스템이 62%로 가장 많았으며, 그 뒤를 이어 2019년도 취약점이 19%, 2012년도 취약점이 10%를 차지했다. 나온 지 1~2년이 지난 취약점들에 대한 대응이 가장 안 이루어졌으며, 10년도 지난 2012년도 취약점이 10% 차지한다는 것은 보안에 얼마나 취약한지를 보여주는 대목이다.
<그림> 취약점 연도별 고유 비중
연도별로 나온 취약점을 살펴보면, 2019년도와 2021년도 취약점이 각각 11개로 26%를 차지했으며, 2020년도 취약점이 9개(22%)로 그 뒤를 따랐다.
취약점 분석 통계
우리는 국내에 취약 서버가 많은 순서대로 취약점 TOP10을 선정하여 분석하였다.
CVE |
CVSSv3 |
Tag |
Condition |
CVE-2021-40438 |
9.0 |
#ssrf #apache |
Apache HTTP Server2.4.48 이전 모든버전 (mod_proxy 활성화) |
CVE-2019-0211 |
7.8 |
#uaf #apache #elevation |
Apache HTTP Server 2.4.17~2.4.38
버전 |
CVE-2012-1823 |
n/a |
#rce #php |
PHP 5.3.12 이전 버전 |
CVE-2014-0160 |
7.5 |
#openssl #heartbleed |
OpenSSL 1.0.1 ~ OpenSSL 1.0.1f |
CVE-2019-11043 |
8.7 |
#rce #php-fpm |
PHP FPM 7.1.x ~ 7.1.33 |
CVE-2015-1635 |
n/a |
#rce #iis #bsod |
Microsoft Windows 7 SP1 |
CVE-2019-0708 |
9.8 |
#rce #bluekeep #rdp #bsod
#uaf |
Windows XP |
CVE-2020-0796 |
10.0 |
#rce #smbv3 #bof #reverseshell |
Windows 10 (1903, 1909) |
CVE-2020-1938 |
9.8 |
#apache #ajp #rce |
Apache Tomcat 6.x |
CVE-2017-7269 |
9.8 |
#iis60 #webdav #rce #bof |
IIS6.0 in Windows Server 2003 R2
x86 |