CVE-2018-14787과 CVE-2018-14789...권한 상승과 임의 코드 실행
정식 패치는 10월에 나올 예정...완화 방법은 인터넷 노출 자제 및 방화벽 사용

[보안뉴스 문가용 기자] 필립스(Philips)에서 만든 심혈관 촬영 및 정보 관리 소프트웨어 다수에서 권한 상승 및 임의 코드 실행 취약점이 발견됐다. 첫 번째 취약점은 CVE-2018-14787로 CVSS 점수로 7.3을 기록했다(고위험군). 필립스에서 만든 ISCV(IntelliSpace Cardiovascular) 2.x과 그 이전 버전들과 Xcelera 4.1 및 이전 버전들에서 발견됐다.


지난 주 미국 국토안보부의 CERT팀이 발표한 경고문에 의하면, 공격자가 이 취약점을 성공적으로 익스플로잇 할 경우 권한을 상승시켜, 원래는 쓰기 인증까지 받은 사용자만이 접근할 수 있는 실행파일 폴더에 다가갈 수 있다고 한다. 그리고 거기서 로컬 관리자 권한을 취득해 임의의 코드를 실행시킬 수 있다고 한다.

필립스도 이 부분에 대해 권고문을 발표했다. “(언급된 버전의 소프트웨어에는) 20가지의 윈도우 기반 서비스들이 포함되어 있으며, 그 서비스들과 연결된 실행파일들이 한 폴더 내에 위치하고 있습니다. 이 폴더에는 쓰기 권한이 있는 사용자들만 접근할 수 있습니다. 로컬 권리자 계정 혹은 로컬 시스템 계정으로만 서비스들은 실행되며, 사용자가 이 실행파일을 다른 프로그램으로 대체할 경우, 그 프로그램도 로컬 관리자나 로컬 시스템 권한으로 돌아가게 됩니다.”

뿐만 아니라 CVE-2018-14789 취약점도 발견됐다. 이건 앞서 발견된 것보다 조금은 덜 위험하다고 분석되고 있다. 악성 행위자들이 권한을 상승시키고 임의의 코드를 실행시킬 수 있게 해주는 것으로 ISCV 3.1 혹은 그 이전 버전과 Xcelera 4.1 및 그 이전 버전에서 발견됐다. 필립스는 권고문을 통해 “(언급된 버전의 소프트웨어에는) 16가지의 윈도우 기반 서비스들이 포함되어 있으며, 그 서비스들의 경로 이름에 인용 부호가 첨부되지 않는 오류가 발견됐다”고 설명했다.

또한 “이 16가지 서비스들도 로컬 관리자 권한이 있어야만 실행 가능하며, 레지스트리 키로 시작해야 한다”고 설명했다. 그러면서 “이런 오류가 포함된 경로를 통해 사용자에게 로컬 관리자 권한을 부여할 수 있는 실행파일의 설치를 허용할 수 있다”고 경고했다.

하지만 이 버그가 가지고 있는 위험성은 그리 높지 않은데, 필립스에 의하면 그 이유는 “인증된 사용자가 먼저 로컬에서 ISCV 및 Xcelera 서버에 접근해야만 익스플로잇을 실시할 수 있기 때문”이다. 하지만 디폴트 설정 상 이러한 행위는 차단되어 있다.

필립스는 2018년 10월에 이 문제들에 대한 패치를 개발 완료 및 배포하겠다고 발표했다. 10월에는 ISCV 3.2 버전의 발표가 예정되어 있는데, 이 버전에서 문제들을 고치겠다는 것이다. 하지만 이 부분에 관해 CERT의 발표 내용은 조금 달랐다. CERT는 ISCV 2.x 및 이하 버전과 Xcelera 4.1 및 이하 버전의 문제가 올해 초 ISCV 3.1 버전의 발표 때 이미 어느 정도 해결되었다고 한 것이다.

여기서 차이점은 필립스가 약속한 건 패치(patch)이고, CERT가 말하는 건 완화 방법 및 장치인 mitigation이다. patch와 mitigation은 약간 다른 개념이다.

필립스가 10월에 정식 패치를 발표하기 전까지 사용자들은 어떻게 해야 할까? 필립스는 장비의 윈도우 설정을 변경하도록 권고하고 있다. 국토안보부는 언급된 소프트웨어가 설치된 장비를 인터넷에 최소한으로 노출시켜야 하며, 방화벽을 설치하고, 원격 접근 기능을 활성화할 때 특히나 안전한 프로토콜과 방법을 사용해야 한다고 권고했다.

3줄 요약
1. 필립스의 심혈관 모니터링 제품에서 취약점이 두 개 발견됨.
2. 둘 다 권한 상승 및 원격 코드 실행을 가능하게 해주는 취약점.
3. 공식 패치 10월에 나올 예정. 그 때까지는 인터넷 노출 최소화 하고, 방화벽 사용해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>