위험한 취약점 발견, BeyondTrust 제품 해커들 노린다

무슨 일이 있었나

최근 BeyondTrust Remote Support와 Privileged Remote Access 제품에서 발견된 심각한 보안 취약점이 적극적으로 악용되고 있습니다. Palo Alto Networks Unit 42는 이 취약점이 네트워크 정찰, 웹쉘 배포, 명령 중계, 백도어 및 원격 관리 도구 설치, 측면 이동, 데이터 유출 등 광범위한 악의적 활동에 사용되고 있다고 밝혔습니다.

이 취약점은 CVE-2026-1731로 추적되며, CVSS 점수 9.9을 기록한 치명적인 보안 결함입니다. 공격자는 영향을 받는 “thin-scc-wrapper” 스크립트를 통해 임의의 셸 명령을 사이트 사용자 컨텍스트에서 실행할 수 있습니다.

“이 계정은 루트 사용자와 다르지만, 이를 침해하면 공격자가 어플라이언스의 구성, 관리 세션 및 네트워크 트래픽을 통제할 수 있게 됩니다.”라고 보안 연구자 Justin Moore가 설명했습니다.

공격의 범위

현재 이 취약점을 악용한 공격의 범위는 정찰부터 백도어 배포까지 다양합니다.

• 사용자 정의 Python 스크립트를 사용하여 관리 계정에 접근
• PHP 백도어를 포함한 여러 웹쉘을 디렉토리에 설치
• VShell 및 Spark RAT 같은 맬웨어 배포
• 성공적인 코드 실행을 검증하고 침해된 시스템을 확인하기 위한 OAST 기술 사용
• 구성 파일, 내부 시스템 데이터베이스, 전체 PostgreSQL 덤프를 외부 서버로 유출

표적이 된 산업

이번 공격 캠페인은 미국, 프랑스, 독일, 호주, 캐나다의 여러 산업을 대상으로 했습니다.

• 금융 서비스
• 법률 서비스
• 고급 기술
• 고등 교육
• 도매 및 소매
• 의료 산업

과거 취약점과의 연관성

Unit 42는 CVE-2026-1731과 CVE-2024-12356 사이의 관계가 “서로 다른 실행 경로 내에서 입력 검증과 관련된 지역화된 반복적인 도전”이라고 언급했습니다.

CVE-2024-12356의 부적절한 검증은 서드파티 소프트웨어를 사용했고, CVE-2026-1731의 부적절한 검증 문제는 BeyondTrust Remote Support와 이전 버전의 BeyondTrust Privileged Remote Access 코드베이스에서 발생했습니다.

CVE-2024-12356가 Silk Typhoon 같은 중국 연결 위협 그룹에 의해 악용된 점을 감안할 때, CVE-2026-1731도 정교한 위협 그룹의 표적이 될 수 있습니다.

방어 방법

CISA는 CVE-2026-1731을 Known Exploited Vulnerabilities 카탈로그에 추가하고, 이 버그가 랜섬웨어 캠페인에서 악용되었다고 확인했습니다.

BeyondTrust는 2026년 1월 31일에 취약점 악용 시도가 처음 감지되었다고 밝혔습니다. 이는 2026년 2월 6일에 공개적으로 공개되기 최소 일주일 전입니다.

회사는 “관찰된 악용 활동은 2026년 2월 9일이전에 패치가 적용되지 않은 인터넷 연결 자체 호스팅 환경으로 제한적이었다”고설명했습니다.