• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

의료 분야의 협업 소프트웨어에서 세 가지 취약점 나와 2019.01.31

CVE-2019-3911, CVE-2019-3912, CVE-2019-3913
랩키 서버의 사용자 크리덴셜과, 의료 연구 데이터 탈취 및 조작 가능

[보안뉴스 문가용 기자] 인기 높은 오픈소스 의료 데이터 협업 툴에서 취약점이 세 개나 발견됐다. 이 때문에 중요한 의료 건강 관련 연구 데이터가 XSS 공격을 통해 유출될 수 있다는 사실이 드러났다. 또한 사용자 크리덴셜을 노리는 공격도 가능하기 때문에 꽤나 치명적인 취약점들이라고 판명났다.

[이미지 = iclickart]


이를 발견한 건 보안 업체 테너블(Tenable)이며, 문제가 된 건 랩키 서버 커뮤니티 에디션(LabKey Server Community Edition) 18.2-60106.64 버전이다. 인증 받지 않은 공격자가 원격에서 브라우저를 통해 임의의 코드를 실행시키거나, 오픈 리다이렉트를 만들어 사용자들이 악성 URL로 접속하게 만들거나 악성 네트워크 드라이브를 매핑할 수 있게 해준다.

“공격자는 피해자가 랩키 시스템에서 할 수 있는 모든 일을 자신도 할 수 있게 됩니다. 왜냐하면 결국 이들은 피해자의 크리덴셜로, 피해자처럼 접속할 수 있게 되기 때문입니다.” 테너블의 수석 연구 엔지니어인 제이콥 베인즈(Jacob Baines)의 설명이다. 베인즈는 “그러므로 향후 의료 행위에 연결이 될 수 있는 연구 데이터를 조작하는 일까지 가능하게 됩니다.”

랩키 서버는 의료계에서 연구를 진행하는 전문가와 과학자들이 연구 결과와 데이터를 공유함으로써 협업을 할 수 있게 해주는 소프트웨어다. 따라서 데이터 저장소의 역할도 한다. 이 데이터는 웹을 기반으로, 쿼리, 보고, 협업 등에 사용된다. 세계 곳곳의 공공 의료 기관, 연구센터, 대학 기관 등에서 랩키 서버를 사용한다.

“쇼단으로 검색을 해보면 인터넷에 연결된 랩키 서버들을 꽤나 찾아볼 수 있습니다. 때문에 공격 표면이 굉장히 넓어질 수 있는 상황입니다.” 베인즈의 설명이다. “랩키 서버들은 X-LAB-CSRF를 포함하고 있는 셋쿠키(Set-Cookie) 헤더를 가지고 있어 눈에 확 띕니다.”

취약점 세 가지의 세부 사항
첫 번째 취약점은 CVE-2019-3911로, 입력 값을 제대로 확인하지 않기 때문에 발생하는 XSS 오류의 일종이다. “이 취약점을 악용할 경우 공격자는 사용자의 브라우저라는 콘텍스트 안에서 임의의 코드를 실행할 수 있게 됩니다. 이 공격은 인증을 한 상태에서와 인증을 하지 않은 상태에서 모두 가능합니다.”

두 번째 취약점은 CVE-2019-3912로, returnUrl 함수에서 발생하는 오픈 리디렉트(open redirects) 오류다. 이를 악용하면 공격자들이 사용자들을 특정 위치로 우회시킬 수 있게 해준다. 공격자는 악성 코드 등을 호스팅함으로써 추가 공격을 성공시킬 수 있게 된다.

마지막 취약점은 CVE-2019-3913으로, 랩키 서버의 네트워크 드라이브에 있는 논리 오류다. 익스플로잇을 하려면 공격자가 관리자 접근 권한을 가지고 있어야 한다. “네트워크 드라이브를 명령행에서부터 매핑할 때, mount() 함수에서 오류가 발생합니다. 이를 악용하면 공격자가 악성 드라이브를 서버에 마운트 시킬 수 있게 됩니다.”

베인즈에 의하면 CVE-2019-3911과 CVE-2019-3912가 특히나 위험한 취약점이라고 설명한다. 그렇기 때문에 이 두 가지 취약점이 보다 공격에 많이 악용될 소지가 높다고 한다. “제가 공격자라면 가짜 로그인 페이지를 만들어서 CVE-2019-3912를 익스플로잇 할 것 같습니다. 사용자를 가짜 로그인 페이지로 이끄는 데 성공했다면, 크리덴셜을 탈취해 진짜 랩키에 진짜 사용자처럼 접속할 수 있게 되겠죠.”

그러면서 베인즈는 “CVE-2019-3911의 경우 공격자가 자바스크립트를 만들고, 이와 연결되는 악성 링크를 통해 사용자의 브라우저에 삽입한 후 실행시키는 게 가능하다”고 설명한다. “랩키에 로그인 한 사용자가 이 악성 링크를 클릭하게 되면, 자바스크립트가 실행되고 사용자의 쿠기를 공격자에게 보낼 수 있게 됩니다. 사용자의 sessionID에 접근할 수 있게 되는 것이죠.”

랩키 서버 측은 18.3.0-61806.763 버전을 1월 16일에 발표했다. 위 세 가지 취약점 모두 해결된 버전이다.

3줄 요약
1. 의료 연구자들의 협업 소프트웨어 랩키 서버에서 세 가지 취약점 발견됨.
2. CVE-2019-3911, CVE-2019-3912, CVE-2019-3913.
3. 사용자의 크리덴셜 탈취한 뒤 랩키 서버에 저장된 정보를 조작할 수 있게 해줌.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>