• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

libssh 취약점 소식에 놀란 기업들, 일제히 조사 시작 2018.10.23

크리덴셜 없이 서버 인증 성공시켜 주는 취약점...CVE-2018-10933
libssh와 관련 있는 다양한 업체들, 일제히 제품 및 서비스 조사 시작

[보안뉴스 문가용 기자] 시스코(Cisco)와 F5 네트웍스(F5 Networks)가 최근 패치된 libssh 취약점에 대한 조사를 시작했다. 특히 자사 제품들에서 이 취약점을 찾아내고 패치하겠다는 것이다. 다른 제조사들도 비슷한 작업을 실시하고 그 결과를 발표했다.

[이미지 = iclickart]


libssh의 취약점은 보안 전문가 피터 윈터스미스(Peter Winter-Smith)가 발견한 것으로, 공격자가 크리덴셜 없이 정상적인 인증 과정을 통과해 서버에 접근할 수 있도록 해준다고 한다. 이 때 서버로 메시지를 보내 인증 과정이 성공적으로 진행됐음을 알리는 기법이 활용된다(사실 인증 과정은 시작조차 하지 않은 상태인데 말이다).

이 오류는 지난 6월 25일 libssh 관련 개발자들에게 전부 알려졌다. libssh 0.6과 그 이후에 나온 버전들에 영향을 미치는 것으로 전달됐으며, CVE-2018-10933이라는 번호가 붙었다. libssh 0.8.4와 0.7.6 버전이 지난 주 나옴으로써 패치가 공식 발표되기도 했다.

현재 libssh가 도입된 서버는 전 세계적으로 수천 개가 넘는다. libssh를 서버에 도입함으로써 보안 셸(SSH)이라는 원격 로그인 프로토콜을 사용할 수 있기 때문이다. 그렇다고 이 모든 서버들에 CVE-2018-10933 취약점이 존재하는 건 아닐 가능성이 높다. “클라이언트 모드는 괜찮은데 서버 모드에서 libssh가 사용될 때만 문제인 것으로 보입니다.”

libssh를 사용하는 업체들 중 깃허브(GitHub)가 있는데, 사용자들의 우려가 넘치자 “이 취약점에 영향을 받고 있지 않지만 패치를 적용했다”고 발표했다. 오픈SSH(OpenSSH), libssh2, curl, libcurl 역시 이번 문제로부터 자유롭다.

이렇게 libssh에 대한 문제가 공공연하게 거론되기 시작하자 기업들도 각사 제품과 서비스에 대한 조사에 착수하기 시작했다. 그중 일부는 자신들의 제품과 서비스에 영향이 있음을 발표하기도 했다.

시스코 역시 지난 며칠 동안 어떤 제품에 이 취약점이 존재하는지 알아내려고 조사했다. 그러면서 위험할 수 있는 애플리케이션들을 전부 공개했다. 그러나 ‘가능성이 있는’ 애플리케이션들이지, 실제로 취약점이 발견된 것들은 아니다. 이 부분에 대해서는 조사가 진행 중에 있다.

F5 네트웍스도 마찬가지다. 제품들을 전량 조사하고 있다고 하는데, 빅IP(BIG-IP) 애플리케이션 배포 관리자에서 이 취약점을 발견했다고 한다. 정확한 이름은 BIG-IP AFM SSH 가상 서버인 것으로 밝혀졌다. 그 외 제품 및 서비스들에서는 취약점이 발견되지 않거나, 아직 조사가 끝나지 않았다.

레드햇 엔터프라이즈 리눅스 7 엑스트라(Red Hat Enterprise Linux 7 Extras)에서도 libssh 취약점이 발견됐다. 데비안(Debian)과 우분투(Ubuntu), 수세(SUSE) 리눅스 엔터프라이즈 12와 15도 마찬가지였다. 데비안의 경우 0.7.3-2+deb9u1 버전을 통해 이를 해결했고, 우분투는 18.04 LTS, 16.04 LTS, 14.04 LTS를 통해 패치가 적용됐다.

협업 솔루션 업체인 팀스피크(Teamspeak)에서도 일부 libssh 취약점이 발견됐지만, 공격이 가능한 형태는 아닌 것으로 밝혀졌다. IT 업체 알러트 로직(Alert Logic)의 경우 취약점이 발견되지는 않았다고 발표했다. 넷게이트(Netgate)와 센트리파이(Centify) 역시 조사 후 취약점이 발견된 바 없다고 말했다. 보안 업체 테너블(Tenable)도 평가 후 libssh 취약점이 자사 솔루션에 존재하지 않는다고 발표했다.

하지만 이 취약점에 대한 익스플로잇 코드와, 이 취약점을 식별 및 확인해 내는 데 사용할 수 있는 툴들이 공개된 상태다. 물론 자가 조사와 실험을 위한 것이지만, 이를 해커들이 악용할 가능성도 높다.

3줄 요약
1. 지난 주 발견된 libssh 취약점 찾기 위해 여러 회사들 점검에 나섬.
2. 시스코와 F5 네트웍스, 테너블 등 보안 업계도 여기에 포함됨.
3. 익스플로잇 코드와 점검 툴이 공개된 상태. 해커들의 남용 걱정됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>