디바이스42라는 자산 관리 플랫폼에서 취약점들이 발견됐다. 특정한 순서대로 익스플로잇 하다 보면 장비 완전 장악까지 가능하게 된다. 그래서 배포되기 시작한 패치를 적용하는 게 중요하다.

[보안뉴스 문가용 기자] 인기 높은 자산 관리 플랫폼인 디바이스42(Device42)에서 여러 개의 취약점이 발견됐다. 익스플로잇에 성공할 경우 시스템에 대한 최고 권한을 가져갈 수 있다고 보안 업체 비트디펜더(Bitdefender)가 경고했다. 취약점들 중 하나인 CVE-2022-1399는 원격 코드 실행을 가능하게 하며, 공격자들은 이를 통해 원격에서 장비를 완전히 장악할 수 있게 된다고 한다. CVSS 기준으로 10점 만점에 9.1점을 받았다.


비트디펜더의 위협 연구 책임자인 보그단 보테자투(Bogdan Botezatu)는 “이번에 발견된 취약점들을 적절히 익스플로잇 하면 공격자들은 여러 가지 악성 행위를 고루 할 수 있게 된다”고 설명한다. “피해자를 사칭할 수도 있고, 애플리케이션을 통해 관리자 권한을 가져갈 수도 있으며, 파일과 데이터베이스에 최고 권한을 가지고 접근할 수도 있습니다.”

여러 가지 취약점을 연쇄적으로 엮어내기
비트디펜더가 발표한 바에 따르면 CVE-2022-1401이라는 취약점도 꽤나 위험하다고 한다. 이는 네트워크에 접속된 사람이면 그 누구라도 디바이스42 장비 내에 저장된 민감한 파일을 열람할 수 있게 해 주는 취약점이다. 이 중에는 암호화 된 세션 키 파일도 포함되어 있다. 공격자는 CVE-2022-1400이라는 또 다른 취약점을 통해 복호화 키를 추출할 수 있게 되며, 이를 통해 세션 키를 얻어낼 수 있다.

“권한이 없고, 승인도 되지 않은 공격자가 먼저 네트워크에 침투합니다. 그런 다음 CVE-2022-1401을 사용해 암호화 된 세션 정보를 빼돌립니다. 그런 후에 CVE-2022-1400을 통해 암호화 된 내용을 복호화 하여 추출합니다. 여기까지 연쇄적으로 취약점 익스플로잇에 성공하는 순간 공격자는 이미 승인이 된 사용자의 자격을 갖게 되고, 그 사용자의 권한까지도 얻게 됩니다.” 보테자투의 설명이다.

공격은 여기서 끝이 아니다. “그런 식으로 로그인에 성공하면 CVE-2022-1399를 익스플로잇 하여 장비를 완전히 장악할 수 있게 됩니다. 파일과 데이터베이스 내 정보에 대한 모든 권한을 가져갈 수 있게 되죠. 시스템 내 멀웨어를 마음대로 심을 수도 있게 되고요.” 보테자투의 설명이다. “이런 순서로 익스플로잇을 하면 장비 내 모든 기밀이 공격자의 손으로 넘어가게 됩니다. 그 외에도 공격자의 의도와 상상력에 따라 여러 가지 일을 할 수 있게 됩니다.”

문제의 취약점들이 실제로 조직 내에 존재하는지 확인하려면 애플리케이션들에 대한 꼼꼼한 보안 감사를 실시해야 한다고 비트디펜더는 안내한다. “특히 조직 내에 도입될 애플리케이션들을 점검하는 게 중요합니다. 다만 감사를 하려면 꽤나 높은 수준의 재능과 전문성이 필요한데요, 이를 내부적으로 전부 갖춘 조직들은 그리 많지 않습니다. 아마 외부 전문가나 전문 기업을 고용해야 할 겁니다.”

디바이스42는 비트디펜더의 제보를 받고 이 취약점들을 전부 해결한 상태다. 해결된 버전은 18.01.00으로 사용자들에게 배포되고 취약점 정보가 공개되기 전 미리 비트디펜더가 확인을 마쳤다고 한다. “확인 결과 CVE-2022-1399, CVE-2022-1400, CVE-2022-1401, CVE-2022-1410 취약점 전부 해결됐음을 알 수 있었습니다. 사용자들에게는 시급한 패치 적용이 권장됩니다.”

3줄 요약
1. 유명 자산 관리 플랫폼에서 여러 개의 위험한 취약점 발견됨.
2. 취약점을 연쇄적으로 익스플로잇 할 경우 장비의 완전 장악 가능.
3. 18.01.00 버전이 취약점 모두 해결된 안전 버전.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>