자산 관리 솔루션(TCO!Stream) 취약점 주의 및 업데이트 권고

취약 소프트웨어 및 개요

TCO!Stream은 국내 엠엘소프트사에서 제조한 자산 관리 솔루션이다. 서버와 클라이언트로 구성되며, 관리자는 콘솔 프로그램을 이용하여 서버에 접속해 자산 관리 업무를 수행할 수 있다. TCO!Stream은 자산 관리를 위해 다양한 기능을 제공하는데, 서버로부터 명령을 받기 위하여 클라이언트에 항상 상주하는 프로세스가 존재하며, 해당 프로세스를 통하여 명령을 수행한다. 이 프로그램을 악용하여 원격으로 코드를 실행할 수 있는 취약점 공격에 노출되어 있어 최신버전으로 업데이트가 필요하다.

취약점 설명

해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 TCO!Stream에서 원격 코드 실행 취약점(RCE)이 발생할 수 있다.

패치 대상 및 버전

TCO!Stream 8.0.22.1115 이하 버전

취약점 악용 로그(Lazarus)

고객사의 침해사고 분석 과정에서 TCO!Stream 솔루션이 공격자에 의해 악용되는 정황이 발견되었으며, 이를 이용하여 여러 PC에 원격으로 코드를 실행하고 백도어를 설치하였다.

[그림 1] Lazarus 그룹이 악용한 이력

해결 방안

사용자는 다음의 안내에 따라 프로그램의 버전을 확인하고 최신 버전(8.0.23.215 버전 이상)으로 업데이트를 진행하도록 한다.
– 서비스 운영자 : 엠엘소프트를 통해 최신 버전으로 교체
– 서비스 이용자 : 운영자가 최신 버전으로 교체 시 자동 업데이트됨

[진단]

Trojan/Win.Agent.C5356408 (2023.01.12.03)

[IOC]

MD5
– e7c9bf8bf075487a2d91e0561b86d6f5

[Reference]

  1. https://knvd.krcert.or.kr/detailSecNo.do?IDX=5881
  2. http://mlsoft.com/bbs/board.php?bo_table=54_1
  3. https://atip.ahnlab.com/ti/contents/asec-notes?i=11d64889-76f5-40a5-86d3-8319e1bef763

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 1 vote
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments