어제는 레노보, 오늘은 델...각각 세 개씩 취약점 공개돼
최신 버전으로 업데이트 했을 때 대처 가능

[보안뉴스 문가용 기자] 델 시스템에 미리 설치된 소프트웨어인 델 프리시젼 옵티마이저(Dell Precision optimizer)와 인빈시아엑스(Invincea-X), 인빈시아 델 프로텍티드 워크프세이스(Invincea Dell Protected Workspace)에서 취약점이 발견됐다. 이 취약점을 익스플로잇 할 경우 보안 장치들을 전부 해제하고 권한 상승 공격을 감행할 수 있게 된다고 한다.


첫 취약점은 CVE-2016-9038로, 인빈시아엑스와 델 프로텍티드 워크스페이스 6.1.3-24058 버전에서 발견된 것이다. 특별히 조작된 데이터를 주입시키면 기기의 드라이버가 읽기 및 쓰기 권한을 모두에게 허가하도록 설정할 수 있다. 이를 발견한 시스코 탈로스(Cisco Talos) 팀은 “익스플로잇에 성공하면 커널 메모리에 임의의 값을 집어넣어 권한 상승을 일으킬 수 있게 된다”고 설명한다.

두 번째 취약점은 CVE-2016-8732로 엔드포인트 보안 솔루션인 인빈시아 델 프로텍티드 워크스페이스 5.1.1-22303 버전에서 발견된 다량의 보안 오류들과 관련이 있다. 드라이버 통신 채널에 대한 제한 사항들이 너무 빈약하고, 인증 절차가 불충분해 공격자가 자신이 통제하는 애플리케이션을 기기에서 실행할 수 있도록 해준다. 6.3.0 버전이 나오면서 해결된 문제다.

세 번째 취약점은 CVE-2017-2802로 델 프리시전 옵티마이저 애플리케이션에 있는 버그다. 임의의 코드를 실행 가능하도록 해준다. 엔비디아의 그래픽 카드에 있는 프리시전 타워(Precision Tower) 5810 버전, PPO 폴리시 프로세싱 엔진(PPO Policy Processing Engine) 3.5.5.0 버전, ati.dll 3.5.5.0 버전에서 발견됐다.

델 프로시전 옵티마이저가 제공하는 델 PPO 서비스가 가동될 때 c:\Program Files\Dell\PPO에 있는 poaService.exe 파일이 같은 폴더로부터 ati.dll을 로딩시킨다. 이 DLL 파일은 다시 atiadlxx.dll을 로딩시키는데 이 파일은 디폴트 상 같은 폴더에 존재하지 않는다. 애플리케이션은 “PATH 환경 변수로서 특정된 디렉토리들에서 적절한 이름을 가진 DLL 파일을 검색한다.”

그래서 DLL 파일을 찾는 데에 성공하면 앱은 해당 파일을 poaService.exe 내로 로딩한다. 이 과정에서 시그니처 확인이 되지 않는다. 즉 공격자가 올바른 DLL 파일 이름에 악성 페이로드를 심으면 임의의 코드를 실행할 수 있게 된다.

시스코 탈로스 팀은 “인빈시아 델 프로텍티드 워크스페이스는 워크스테이션 보안에 널리 활용되는 솔루션”이라고 설명한다. “그러니 델 시스템을 활용하고 있거나 해당 소프트웨어를 가지고 있는 기업들은 최신 버전 업데이트를 서두르는 게 좋을 겁니다. 패치만으로 공격 가능성을 크게 낮출 수 있습니다.”

한편 어제는 레노보에서 만든 VIBE 스마트폰에서 취약점이 발견되었다. 역시 총 세 가지 취약점인데 하나는 CVE-2017-3748로 nac_server 요소의 접근 통제 메커니즘에서 발견된 것이다. 다른 둘은 CVE-2017-3749와 CVE-2017-3750으로 각각 이데아 프렌드 안드로이드(Idea Friend Andriod)와 레노보 시큐리티 안드로이드(Lenovo Security Android)라는 애플리케이션들에서 발견됐다.

이 두 가지 애플리케이션들의 원래 기능은 안드로이드 디버그 브리지(Android Debug Bridge)를 통해 사적인 데이터를 백업하고 저장하는 것이지만, 권한 상승의 취약점까지도 포함한 것으로 드러났다. 이 취약점들은 맨디언트 레드 팀(Mandiant Red Team)의 제이크 발레타(Jake Valletta)가 발견했으며 파이어아이 블로그를 통해 상세 기술 정보를 공개하기도 했다. 해당 블로그는 여기를 통해 접속이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>