소프트웨어 공급망을 위협하는 또 다른 취약점이 발견됐다. 작은 자바 라이브러리 하나에서 나타난 취약점이 파생되어 MSP 업체들을 위협하게 된 것인데, 이 MSP를 사용하는 수많은 기업들까지도 위험하게 됐다. 전형적인 소프트웨어 공급망 위협이 대두된 것이다.

[보안뉴스 문가용 기자] 커넥트와이즈(ConnectWise)가 초고위험도를 가진 원격 코드 실행 취약점을 패치했다. 문제의 취약점을 익스플로잇 하는 데 성공할 경우 공격자는 커넥트와이즈 리커버(ConnectWise Recover)와 R1소프트(R1Soft) 서버를 침해할 수 있게 된다. 문제는 두 가지 모두 MSP 기업들이 사용한다는 것으로, 공격에 성공할 경우 MSP의 수많은 고객사들까지 한 번에 위험에 처할 수 있게 된다.


커넥트와이즈는 지난 주말 보안 경고문을 통해 취약점 패치 사실을 알리면서 자동 패치를 같이 내보냈다. R1소프트 서버 백업 관리자를 사용하는 고객이라면 SBM v6.16.4 버전으로 최대한 빨리 업그레이드 하라는 내용이 담겨 있었다. 커넥트와이즈의 CISO인 패트릭 벡스(Patrick Beggs)는 “커넥트와이즈 리커버의 고객들이라면 현재 뭔가 더 해야 할 일이 없다”고 설명한다. 자동으로 패치가 적용될 것이기 때문이다. 

심각한 버그
시급하게 패치되고 있는 이번 취약점은 보안 업체 헌트레스(Huntress)가 개념 증명 코드와 같이 커넥트와이즈 측에 알렸다고 한다. 헌트레스의 설명에 의하면 “익스플로잇에 성공한 공격자는 시스템의 완전 장악까지 할 수 있게 된다”고 한다. 커넥트와이즈 리커버 2.9.7 및 이전 버전과 R1소프트 v6.16.3 및 이전 버전에 영향을 주는 것으로 분석됐다.

해당 취약점에 대한 상세 내용은 헌트레스의 블로그를 통해 공개됐다. 취약점은 올해 ZK 자바 라이브러리 이전 버전에서 발견됐던 인증 우회 취약점 CVE-2022-36537과 관련이 깊다고 한다. 이 자바 라이브러리는 커넥트와이즈의 서버 백업 관리자 기술의 일부 요소로서 활용되고 있기도 하다. 참고로 CVE-2022-36537은 독일의 보안 전문 업체가 발견해 5월 해당 라이브러리의 관리 주체에 알렸다. 해당 업체는 얼마 후 R1소프트에도 같은 라이브러리가 활용되고 있음을 발견해 다시 커넥트와이즈 측에 알렸다. 하지만 커넥트와이즈가 90일 동안 아무런 대응을 하지 않았고, 이 때문에 독일의 보안 업체 측은 트위터에 취약점의 일부 내용을 공개했다고 한다.

헌트레스의 연구원들은 트윗에 공개된 정보를 가지고 연구를 이어갔고, 결국 취약점의 정체를 파악하고 개념 증명 코드를 개발하는 데에도 성공했다. 그리고 이 취약점을 통해 서버의 비밀 키, 소프트웨어 라이선스 정보, 시스템 설정 파일 등을 빼돌리는 게 가능하다는 것을 알아냈고, 이런 악성 행위를 연쇄적으로 이어가다 보면 결국 원격 코드 실행 공격에까지 도달할 수 있다는 걸 밝혀낼 수 있었다고 한다. 

“MSP에 설치된 커넥트와이즈 시스템에만 원격 코드 실행 공격을 할 수 있는 게 아니었습니다. MSP 서비스를 활용하는 고객사들의 엔드포인트들에까지도 영향을 줄 수 있었습니다. 쇼단을 통해 간단히 검색한 결과 5천 개 이상의 커넥트와이즈 서버 백업 관리자 인스턴스가 취약한 상태 그대로 인터넷에 노출되어 있다는 걸 알 수 있었습니다. 대부분 MSP 업체들이었으니, 실제 공격이 가능한 조직들은 5천 개 보다 훨씬 많았겠죠.”

전형적인 소프트웨어 공급망 위협
헌트레스의 보안 연구원인 칼렙 스튜어트(Caleb Stewart)는 “이번에 개발된 개념 증명 익스플로잇은 크 게 세 가지 부분으로 구성되어 있다”고 한다. 제일 처음 발견됐던 ZK 라이브러리의 인증 우회 취약점 익스플로잇, SBM의 원격 코드 실행 취약점 익스플로잇, 서버에 연결된 고객들 시스템에서의 원격 코드 실행 공격이 바로 그것이다.

트위터에 올라온 최초 취약점에 대한 일부 정보를 가지고 익스플로잇 코드를 개발하는 데에는 총 3일 걸렸다고 한다. “그 다음에는 R1소프트 애플리케이션을 역설계 함으로써 저희의 익스플로잇 코드를 활용해 공략할 수 있도록 했습니다. 쉬운 과정은 아니었습니다만 불가능할 정도로 어려운 것도 아니었습니다. 즉 어느 정도 해킹 및 역설계 실력을 갖춘 사람이라면 수일 내에 익스플로잇에 성공할 가능성이 높다는 겁니다.”

또한 스튜어트는 “소프트웨어 공급망을 왜 계속해서 지켜봐야 하는지 다시 한 번 드러났다”고 강조한다. “이번에 발견된 취약점은 결국 공급망 공격을 가능하게 하는 취약점이었습니다. ZK 라이브러리가 문제의 근원이었고, 그것을 MSP가 사용하면서 덩달아 모든 고객사들이 위험해진 것이었으니까요. 모든 기업이나 기관들은 자신들이 사용하는 소프트웨어나 서비스, 플랫폼에 대하여 긴장의 끈을 놓치면 안 됩니다. 다만 커넥트와이즈가 이번에는 재빠르게 반응을 하여 패치도 내고 경고문도 냈기 때문에 대처의 측면에서는 나무랄 데가 없었다고 봅니다.”

헌트레스의 수석 보안 연구원인 존 해몬드(John Hammond)는 “단순 인증 우회 취약점이 연쇄적으로 발동되면서 결국 원격 코드 실행과 장비 완전 장악으로까지 이어졌다”면서 “공급망 공격이라는 취약점의 특성과 장비 장악이라는 특성이 맞물리면서 대단히 심각한 상황으로 이어질 수 있다는 점이 드러났다”고 말한다. “다수의 엔드포인트를 효율적인 공격을 통해 장악할 수 있다는 의미가 됩니다. 반드시 패치를 적용해야 하는 이유죠. 자동 패치는 커넥트와이즈가 담당했으니, 이제 수동 패치를 고객들이 해야 할 차례입니다.”

3줄 요약
1. 커넥트와이즈의 서버 요소들에서 중대한 원격 코드 실행 취약점 발견됨.
2. 그 뿌리는 ZK 자바 라이브러리에 있고, MSP 업체들에 특히 영향이 큰 취약점임.
3. 따라서 MSP를 이용하는 수많은 고객사들까지도 위험에 처하게 하는 취약점.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>