취약 소프트웨어 및 개요
TCO!Stream은 국내 엠엘소프트사에서 제조한 자산 관리 솔루션이다. 서버와 클라이언트로 구성되며, 관리자는 콘솔 프로그램을 이용하여 서버에 접속해 자산 관리 업무를 수행할 수 있다. TCO!Stream은 자산 관리를 위해 다양한 기능을 제공하는데, 서버로부터 명령을 받기 위하여 클라이언트에 항상 상주하는 프로세스가 존재하며, 해당 프로세스를 통하여 명령을 수행한다. 이 프로그램을 악용하여 원격으로 코드를 실행할 수 있는 취약점 공격에 노출되어 있어 최신버전으로 업데이트가 필요하다.
취약점 설명
해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 TCO!Stream에서 원격 코드 실행 취약점(RCE)이 발생할 수 있다.
패치 대상 및 버전
TCO!Stream 8.0.22.1115 이하 버전
취약점 악용 로그(Lazarus)
고객사의 침해사고 분석 과정에서 TCO!Stream 솔루션이 공격자에 의해 악용되는 정황이 발견되었으며, 이를 이용하여 여러 PC에 원격으로 코드를 실행하고 백도어를 설치하였다.
해결 방안
사용자는 다음의 안내에 따라 프로그램의 버전을 확인하고 최신 버전(8.0.23.215 버전 이상)으로 업데이트를 진행하도록 한다.
– 서비스 운영자 : 엠엘소프트를 통해 최신 버전으로 교체
– 서비스 이용자 : 운영자가 최신 버전으로 교체 시 자동 업데이트됨
[진단]
Trojan/Win.Agent.C5356408 (2023.01.12.03)
[IOC]
MD5
– e7c9bf8bf075487a2d91e0561b86d6f5
[Reference]
- https://knvd.krcert.or.kr/detailSecNo.do?IDX=5881
- http://mlsoft.com/bbs/board.php?bo_table=54_1
- https://atip.ahnlab.com/ti/contents/asec-notes?i=11d64889-76f5-40a5-86d3-8319e1bef763
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:조치 가이드