지난 달에 패치 발표된 취약점...완전히 문제 해결하지 못해
두 번째 오류 보고는 11월 9일에 접수...패치 발표는 같은 달 27일

[보안뉴스 문가용 기자] 시스코가 웹엑스(Webex)에서 발견된 취약점에 대한 두 번째 패치를 발표했다. 첫 번째 패치는 지난 달에 있었다.


두 번이나 시스코를 움직인 취약점은 CVE-2018-15442로, 이를 처음 발견한 보안 업체 카운터핵(Counter Hack)은 여기에 웹이그젝(WebExec)이라는 이름을 붙이기도 했다. 시스코의 웹엑스 미팅즈(Webex Meetings) 데스크톱 33.6.4 이전 버전들과 웹엑스 프로덕티비티 툴즈(Webex Productivity Tools) 32.6.0 및 그 이상 버전과 33.0.6 이하 버전에서 발견된다.

시스코가 이 취약점에 대한 패치를 제일 처음 내놓은 건 10월 24일의 일이다. 카운터핵은 당시 이 취약점은 물론 개념증명 코드까지도 함께 공개했다.

이 취약점은 사용자가 입력하는 매개변수를 확인하지 않아서 생기는 일종의 보안 구멍으로, 로컬에서 승인을 받은 공격자가 익스플로잇에 성공할 경우 SYSTEM 권한을 갖고 임의의 명령을 실행할 수 있게 된다. 하지만 액티브 디렉토리와 함께 원격 익스플로잇도 가능하다고 시스코는 발표했다.

취약점의 세부 내용이 공개되고 며칠 지나지 않아 보안 업체 시큐어오스(SecureAuth)는 시스코의 패치가 완전하지 않다는 걸 발견했다. DLL 하이재킹이라는 공격 기법을 사용할 경우 패치를 무용지물로 만들 수 있다는 걸 알아낸 후였다.

“로컬 공격자가 통제하는 폴더로 ptUpdate.exe 바이너리를 복사하면 패치를 적용해도 취약점 익스플로잇이 가능해집니다. 또한 악성 DLL 파일을 같은 폴더에 위치시켜야만 합니다. 이 파일의 이름은 wbxtrace.dll입니다.” 시큐어오스의 설명이다.

“권한을 얻기 위해서 공격자는 다음과 같은 명령행으로 서비스를 시작해야 합니다. . 이 때 1이라는 매개변수가 통하지 않는다면 2로 대체가 가능합니다.”

시큐어오스는 이러한 사실을 11월 9일 시스코에 먼저 알렸다. 시스코는 보고가 들어오자 재빨리 확인하고 패치 개발에 착수했다. 그리고 현지 시각으로 화요일 새로운 패치와 함께 권고사항도 발표해 고객들이 빨리 패치를 적용할 수 있도록 조치를 취했다.

시스코는 “새로운 공격 방법에 대한 보고가 회사로 접수되었고, 확인해본 결과 이전 패치가 정말로 불안전하다는 게 밝혀졌다”며 “11월 27일에 발표된 새로운 픽스와 권고사항이 있으면 웹엑스를 안전하게 사용하는 것이 가능하다”고 밝혔다.

3줄 요약
1. 시스코 웹엑스 제품에서 발견된 취약점, 지난 달에 패치됨.
2. 하지만 패치를 적용한 시스템에서도 공격이 가능하다는 게 발견됨.
3. 이에 시스코는 두 번째 패치를 27일에 발표, 배포하기 시작함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>