• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

오픈소스 수도에서 10년 넘은 취약점 발견돼 각종 시스템에 영향 있어 2021.08.31

권한 관리 오픈소스 프로그램인 수도에서 취약점이 지난 1월 발견된 이후 여러 시스템에서 하나 둘 취약점들이 나타나고 있다. 이번에는 HPE의 아루바 에어웨이브에서 권한 상승 취약점의 형태로 나타났다.

[보안뉴스 문가용 기자] 휴렛팩커드(HPE)가 아루바 에어웨이브(Aruba AirWave) 관리자 플랫폼 내에서 사용되는 오픈소스 프로그램인 수도(Sudo)에서 취약점을 발견했다고 경고했다. 이 취약점을 익스플로잇 할 경우 공격자는 높은 권한을 가져갈 수 있게 된다. 다만 로컬 접근이 반드시 성립되어야 한다고 HEP는 설명했다.

[이미지 = utoimage]


이 취약점은 고위험군으로 분류됐다. 또한 연쇄적인 익스플로잇을 통해 취약점 공략이 가능하다고도 분석됐다. 즉 제일 먼저 낮은 권한으로 시스템에 접속하는 데 성공한 공격자가 또 다시 이 취약점을 익스플로잇 함으로서 권한을 높일 수 있다는 것이다.

아루바 에어웨이브 관리자 플랫폼은 HPE의 실시간 모니터링 및 보안 경보 시스템으로 무선과 유선 인프라 모두에서 사용된다. 수도는 시스템 관리자가 특정 사용자나 그룹에게 명령 실행 등과 같은 기능을 주기 위해 권한을 위임하는 기능을 가진 프로그램이다.

HPE가 발견한 수도 취약점의 경우 CVE-2021-3156으로 분류됐으며, 지난 1월 보안 업체 퀄리스(Qualys)가 처음 발견해 알렸다. 이 취약점에 최소 수백만 대의 장비와 시스템이 영향을 받는다고 알려져 있다.

지난 1월 수도의 취약점이 처음 발견되었을 때 퀄리스의 부회장인 메훌 레반카(Mehul Revankar)는 이를 최근 수도 생태계에서 발견된 가장 심각하고 중요한 취약점이라고 평했다. 위험한 것도 위험한 것이지만, 근 10년 동안 발견되지 않은 채 숨어 있었기 때문에 대단히 많은 시스템에 영향을 주기 때문이었다.

하지만 HPE가 이 취약점에 대해 발표한 건 지난 주의 일이다. 아루바 에어웨이브 8.2.13.0 이전 버전에만 영향을 준다는 것이 주요 내용이었다. 참고로 이 버전은 2021년 6월 18일에 출시됐다. 그러면서 “수도 내 명령행 매개변수 확인 코드에서 취약점이 발견되었고, 이를 통해 공격자가 수도에 접근해 명령을 실행하거나 루트 권한을 가져가는 게 가능하다는 게 확인됐다”고 설명했다.

퀄리스 측은 이 취약점에 바론 사메딧(Baron Samedit)이라는 이름을 붙였다. 이 취약점이 수도의 코드에 처음 도입된 건 2011년 7월의 일이라고 한다. 1월에만 해도 바론 사메딧 취약점은 원래 리눅스와 BSD OS에만 영향을 주는 것으로 분석됐었다. 특히 우분투 20.04(수도 1.8.31), 데비안 10(수도 1.8.27), 페도라 33(수도 1.9.2)가 바론 사메딧에 영향을 받는 것으로 알려졌는데, 다른 제품들도 하나씩 하나씩 추가되기 시작했다. HPE의 아루바 에어웨이브도 추가적으로 알려진 ‘취약한’ 제품이다. 앞으로도 수도와 관련된 취약점의 영향을 받는 제품들이 더 나올 가능성이 높다.

1월에 취약점이 발견되고 2월에는 맥OS 빅서 11.2, 맥OS 카탈리나 10.15.7, 맥OS 모하비 10.14.6에서도 수도 취약점이 발견됐었다. 물론 OS 전체가 아니라 한 애플리케이션이 문제였던 것으로 분석됐다. 이에 애플은 수도 1.9.5p2를 발표하며 문제를 해결했었다.

바론 사메딧 취약점은 본질상 힙 기반 버퍼 오버플로우 취약점으로 분류된다. 로컬 사용자가 이 취약점을 익스플로잇 해 수도가 셸 모드에서 실행되도록 할 수 있다. 수도가 셸 모드에 돌입하면 명령 아규먼트 내 특수 문자들을 통해 비정상적인 조작이 가능하게 된다. 그럴 때 수도 사용자의 권한과 상관없이 특정 문자가 사라지는 일이 발생한다는 게 퀄리스 측의 설명이다.

HPE는 이 취약점의 영향에서 벗어나려면 에어웨이브 관리 플랫폼을 8.2.13.0 및 상위 버전으로 업그레이드 해야 한다고 권고하고 있다. 수도 관리자들도 올해 초 패치를 발표했으니 수도만 업데이트 해야 하는 상황이라면 참고가 가능하다. 수도의 패치는 이 페이지(https://www.sudo.ws/)를 통해 상세히 알아볼 수 있다.

3줄 요약
1. HPE의 아루바 에어웨이브에서 권한 상승 취약점 발견됨.
2. 문제의 근원은 오픈소스 권한 관리 프로그램인 수도.
3. 수도 사용하는 장비와 시스템 많기 때문에 앞으로 HPE처럼 ‘우리 시스템도 취약하다’고 알리는 회사들 늘어날 것.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>