MITRE Caldera는 보안 전문가와 레드팀이 모의 해킹 및 위협 시뮬레이션에 사용하는
오픈 소스 적대자 에뮬레이션(adversary emulation) 플랫폼입니다.
하지만 모든 버전에 걸쳐 최대 심각도 원격 코드 실행(RCE) 취약점이 발견되었습니다.
CVE-2025-27364로 할당된 이번 Zero-Day 취약점은 CVSS 점수 10.0으로 최대 등급입니다.
공격자는 사용자 상호작용이나 특별한 권한 없이 원격에서 악성 코드 실행 및 시스템 완전 장악이 가능합니다. 😨
🚨 취약점의 주요 특징
- 취약한 버전: MITRE Caldera 모든 버전 (최신 버전 포함)
- 공격 조건: Go, Python, gcc가 설치된 기본 설정의 서버
- 취약점 코드: Manx 및 Sandcat 플러그인(에이전트)에서 발생
- 공격 난이도: 매우 쉬움, 사용자 상호작용 불필요
- 심각도: CVSS 점수 10.0 (최대 등급)
😱 취약점이 얼마나 위험한가요?
공격자는 이 취약점을 통해 다음과 같은 행동이 가능합니다:
- 네트워크 신뢰 접근 획득: 인증 없이 신뢰된 접근 권한을 얻음
- 원격 코드 실행(RCE): 서버에 악성 코드 실행 및 시스템 장악
- 권한 상승 및 측면 이동: 관리자 권한을 얻고 네트워크 내 이동
- 보안 테스트 조작: 보안 테스트 결과 조작 및 실제 악성 활동을 모의 해킹으로 위장
- 은밀한 공격: Caldera가 신뢰된 도구이기 때문에 공격 탐지 회피
💡 쉽게 말해: 해커가 보안팀인 척하며 내부 네트워크를 완전히 장악할 수 있습니다! 😨
🔍 취약점의 원인: 동적 컴파일과 인증 부족
MITRE Caldera는 Manx 및 Sandcat 플러그인을 사용하여
공격자 에뮬레이션 및 레드팀 시뮬레이션을 실행합니다.
1. Manx와 Sandcat 에이전트
- Sandcat: 적대자 시뮬레이션을 위한 기본 에이전트
- Manx: 리버스 셸(reverse shell) 기능을 제공하여 명령어 원격 실행
- HTTP 헤더를 사용해 통신 방식, 암호화 키, 서버 주소 등을 동적으로 설정합니다.
- 이 동적 컴파일은 에이전트를 환경에 맞게 변경할 수 있게 하지만,
인증 과정이 없고 입력 값 검증도 미흡합니다. 😥
2. 동적 컴파일 취약점
- 에이전트가 동적으로 컴파일되면서 HTTP 헤더에서 받은 설정값이 바이너리에 포함됩니다.
- 인증이 없어서 누구나 HTTP 요청을 보내 악성 명령어를 주입할 수 있습니다.
- 이 과정에서 커맨드 인젝션(Command Injection)이 발생하여서버에서 악성 코드가 실행되고
시스템 장악이 가능합니다. 😨
💣 공격 시나리오: 어떻게 공격하는가?
1. 취약한 서버 환경
- Caldera 서버에 Go, Python, gcc가 설치된 기본 설정이 유지됨
- gcc는 Go의 의존성이라 대부분의 Caldera 환경에서 설치되어 있습니다.
2. 악성 HTTP 요청
- HTTP 헤더에 악성 명령어를 포함하여 에이전트 컴파일 요청을 보냄
- 예시:
curl -X POST http://caldera-server:8888/api/v2/agent/install -H "User-Agent: $(malicious_command)"- Caldera 서버는 인증 없이 이 요청을 받아들이고,
악성 명령어가 포함된 에이전트를 컴파일합니다.
3. 악성 에이전트 실행 및 시스템 장악
- 컴파일된 악성 에이전트가 자동 실행되며 원격 코드 실행(RCE)이 가능해집니다.
- 이를 통해 관리자 권한을 얻고, 네트워크 전체를 장악할 수 있습니다.
🔐 보안 권고 및 대응 방안
1. 긴급 업데이트 적용
- MITRE Caldera는 최신 버전(Master branch 또는 v5.1.0+)에서
이 취약점을 수정했습니다. - 즉시 업데이트하여 취약점 패치를 적용하세요.
2. 서버 외부 노출 금지
- Caldera 서버는 인터넷에 노출되지 않도록 방화벽을 설정하세요.
- 특히 8888 포트는 외부 접근 차단이 필요합니다.
3. 강력한 인증 적용
- Caldera 서버에 강력한 인증 및 권한 관리를 적용하세요.
- 2단계 인증(MFA) 및 API 요청에 대한 인증을 추가하세요.
4. 네트워크 모니터링 및 침입 탐지
- SIEM(Security Information and Event Management) 도입하여 이상 징후 탐지
- XDR(Extended Detection and Response) 솔루션 사용하여 비정상적인 에이전트 요청 모니터링
- 네트워크 트래픽 분석 및 침입 탐지 시스템(IDS) 활용
✅ 결론 및 앞으로의 전망
MITRE Caldera는 전 세계 보안 전문가들이 사용하는 레드팀 도구입니다.
하지만 이번 Zero-Day 취약점으로 인해 악성 공격자에게 완벽한 해킹 도구가 될 수 있습니다. 😨
- Caldera 사용자들은 즉시 패치 적용 및 보안 설정 강화가 필수입니다.
- Zero Trust 보안 모델 적용으로 모든 접근 요청 검증 및 권한 최소화가 필요합니다.
- PoC 코드가 곧 공개될 예정이라 조속한 대응이 필수적입니다.
🚫 결론: 모의 해킹 도구가 실제 해킹 도구가 되는 상황!
신속한 패치 적용과 보안 강화가 사이버 보안의 시작입니다!
읽어주셔서 감사합니다! 😊
궁금한 점이나 추가 설명이 필요하면 언제든지 댓글로 남겨주세요!
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 🚨 Microsoft SharePoint를 노린 최신 피싱 공격, 당신의 계정도 위험할 수 있습니다!(feat. Havoc C2) (0) | 2025.03.05 |
|---|---|
| 2025년, 국가 해커들이 당신을 노린다: 사이버전쟁의 진실 (1) | 2025.03.04 |
| 🦊 Silver Fox APT: 윈도우 보안도 뚫렸다! (1) | 2025.02.27 |
| 🚨 Parallels Desktop Zero-Day 취약점: 루트 접근 가능! 7개월간 방치된 충격적인 사실 (0) | 2025.02.25 |
| 🚨 'Darcula' PhaaS: 클릭 한 번으로 피싱 공격, 현실이 되다! 🚨 (0) | 2025.02.23 |