위협 행위자들은 실제 공격에서 사용 가능한 개념 증명(PoC) 익스플로잇을 무기화하는 데 신속히 나설 때가 있는데, 때로는 익스플로잇이 공개적으로 공개된 후 22분 만에 그렇게 하는 경우도 있습니다.
이는 Cloudflare의 2024년 애플리케이션 보안 보고서에 따른 것으로, 2023년 5월부터 2024년 3월까지의 활동을 다루고 새로운 위협 추세를 강조합니다.
현재 초당 평균 5,700만 개의 HTTP 요청을 처리하는 Cloudflare는 공개된 CVE에 대한 스캐닝 활동이 계속 증가하고 있으며, 그에 따라 명령 삽입과 사용 가능한 PoC를 무기화하려는 시도가 이어지고 있습니다.
조사 기간 동안 가장 많이 표적이 된 결함은 Apache 제품의 CVE-2023-50164 및 CVE-2022-33891, Coldfusion의 CVE-2023-29298, CVE-2023-38203 및 CVE-2023-26360, MobileIron의 CVE-2023-35082였습니다.
무기화 속도 증가를 특징적으로 보여주는 사례는 JetBrains TeamCity의 인증 우회 취약점인 CVE-2024-27198입니다.
클라우드플레어는 공격자가 PoC 기반 익스플로잇을 게시한 지 22분 만에 배포하는 사례를 발견했으며, 이로 인해 방어자는 이를 수정할 기회가 전혀 없었습니다.
출처: 클라우드플레어
인터넷 회사는 이러한 속도에 대처하는 유일한 방법은 AI의 지원을 받아 효과적인 탐지 규칙을 빠르게 개발하는 것이라고 말합니다.
Cloudflare는 보고서에서 “공개된 CVE의 악용 속도는 인간이 WAF 규칙을 만들거나 패치를 만들어 배포하여 공격을 완화하는 속도보다 빠른 경우가 많습니다.”라고 설명합니다.
“이는 WAF 관리 규칙 세트를 유지 관리하는 자체 보안 분석가 팀에도 적용되며, 이를 통해 인간이 작성한 서명과 ML 기반 접근 방식을 결합하여 낮은 거짓 양성률과 응답 속도 간의 최상의 균형을 달성할 수 있었습니다.”
Cloudflare에 따르면 이는 특정 CVE 범주와 제품을 전문으로 하는 특정 위협 행위자가 새로운 취약성 공개를 신속하게 이용하는 방법에 대한 심층적인 이해를 개발하고 있기 때문이라고 합니다.
출처: 클라우드플레어
전체 인터넷 트래픽의 6.8%가 DDoS다
Cloudflare 보고서에서 또 다른 놀라운 사실은 일일 인터넷 트래픽의 6.8%가 합법적 사용자가 온라인 앱과 서비스를 사용할 수 없게 만드는 것을 목표로 하는 분산 서비스 거부(DDoS) 트래픽이라는 것입니다.
출처: 클라우드플레어
이는 지난 12개월(2022~2023년) 동안 기록된 6%에 비해 눈에 띄는 증가로, DDoS 공격의 전체 규모가 증가했음을 보여줍니다.
Cloudflare에 따르면 대규모 글로벌 공격이 발생하는 동안 악성 트래픽이 전체 HTTP 트래픽의 최대 12%를 차지할 수 있다고 합니다.
Cloudflare는 “HTTP 요청에만 집중하면, 2024년 1분기에 Cloudflare는 매일 평균 2,090억 건의 사이버 위협을 차단했습니다(+86.6% YoY)(…) 이는 작년 같은 시기에 비해 상대적으로 상당히 증가한 수치입니다.”라고 밝혔습니다.
여기에서 다운로드할 수 있는 이 회사의 PDF 보고서는 방어자에게 추가적인 권장 사항과 수집된 통계에 대한 심층적인 통찰력을 제공합니다.
