• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

위험한 윈도우 RDS 취약점, 지멘스 헬시니어즈 제품들에서도 발견 2019.05.28

의료 장비 전문으로 하는 지멘스 자회사, CVE-2019-0708 자체 수사했더니
소프트웨어는 대부분 패치로 해결 가능…나머지는 지멘스 자체 패치 필요

[보안뉴스 문가용 기자] 전자 기기 생산 전문 회사인 지멘스 헬시니어즈(Siemens Healthineers)에서 만든 제품 일부에서 최근 패치된 윈도우 취약점이 발견됐다. 이 취약점은 CVE-2019-0708이며, 블루킵(Bluekeep)이라고 불리기도 한다.

[이미지 = iclickart]


이 취약점에 영향을 받는 건 윈도우 원격 데스크톱 서비스(RDS)로, 2019년 5월 정기 패치를 통해 해결된 바 있다. 악명 높았던 워너크라이(WannaCry) 랜섬웨어와 비슷한 방식으로 멀웨어가 퍼지게 하는 취약점이라, ‘워머블’ 즉, 웜처럼 증식 가능하다는 설명이 따라붙는다. 워너크라이는 NSA의 해킹 툴인 이터널블루(EternalBlue)를 통해 퍼지는 원리를 가지고 있었다.

CVE-2019-0708은 승인 과정을 통과하지 못한 공격자가 코드를 실행해 장비를 완전히 장악하게 해주는 것으로, 이 때 사용자의 특별한 행위를 필요로 하지 않는다. 그저 특수하게 조작된 요청들만 공격 대상이 되는 장비의 RDS로 보내면 된다.

마이크로소프트는 이 문제를 해결하기 위해 지원이 끝난 윈도우 7, 서버 2008, 윈도우 XP, 윈도우 서버 2003용 패치들도 함께 발표했다. 윈도우 7과 서버 2008 사용자들의 경우는 네트워크 레벨 인증(NLA)를 활성화시킴으로써 위에 묘사된 공격을 방어할 수 있게 된다. TCP 포트 3389를 차단하는 것으로도 위협을 완화시킬 수 있다.

보안 전문가들은 CVE-2019-0708 취약점이 특히 산업 환경에 지대한 위협을 끼칠 수 있다고 계속해서 경고해왔다. 그러면서 개념증명 코드도 여러 차례, 다양한 개발자와 보안 전문가의 손에서 등장했다. (사실 개념증명 코드가 다양하게 나오면서 위험성은 더 높아졌다.)

마이크로소프트가 패치를 발표하고 나서 지멘스는 독자적으로 CVE-2019-0708에 대한 수사를 진행했다고 고객들에게 밝혔다. 특히 헬시니어즈 제품들이 주요 조사 대상이었다고 했다. 그리고 오늘 여섯 개의 보안 권고문을 공개했다. 이 권고문들을 통해 오류가 가지고 있는 여러 가지 악영향들과 위험 완화 방법이 소개됐다.

지멘스는 “취약점을 익스플로잇 하려면 환경설정과 제품이 구축된 환경에서 일정한 조건이 맞물려야 한다”고 강조했다. CVE-2019-0708 취약점이 발견된 헬시니어즈 소프트웨어 제품들의 경우 마이크로소프트에서 발표한 패치를 적용하면 대부분 해결이 가능하다고 한다. 매직링크에이(MagicLinkA), 매직뷰(MagicView), 메디칼리스(Medicalis), 스크리닝 내비게이터(Screening Navigator), 신고(syngo), 팀플레이(teamplay)가 여기에 속한다.

고급 치료 제품들의 경우는 RDP를 비활성화 하고, TCP 포트 3389를 차단하면 문제가 해결된다고 지멘스 헬시니어즈는 권고했다. 여기에 더해 마이크로소프트가 제안한 다양한 완화 방법을 적용하는 것 역시 도움이 된다고 한다. 이게 적용되는 제품은 시스템 에이콤(System ACOM), 센시스(Sensis), VM 시스 버추얼 서버(VM SIS Virtual Server)다.

실험실 진단 제품들의 경우 지멘스는 “대부분 별 영향을 받지 않았다”고 말한다. 물론 아예 없는 건 아니었다. “영향권 아래 있는 제품들의 경우, 지멘스가 곧 패치를 발표할 것이며, 보안 강화 방법 역시 함께 안내할 것”이라고 약속했다. 아텔리카(Atellica), 압시오(Aptio), 스트림랩(StreamLab), 센트라링크(CentraLink), 신고(Syngo), 비바(Viva), BCS XP, BN 프로스펙(BN ProSpeck), CS가 이 항목에 포함된 제품들이다.

액시엄(Axiom), 모빌렛(Mobilett), 멀틱스(Multix), 버틱스(Vertix) 등의 모바일 방사선 및 엑스레이 제품들 역시 취약점에서부터 자유롭지 않은 것으로 밝혀졌다. 지멘스는 “이 경우 가까운 곳의 지멘스 고객 센터에 연락하라”고 권했다.

마지막으로 지멘스는 아우위(AUWi)와 라피드 포인트(Rapid Point) 제품들의 경우 즉시 취해야 할 행동이 따로 있는 건 아니라며, 6월 안에 패치를 발표할 것이라고 말했다. 그 때까지는 마이크로소프트가 공개한 위험 완화 방법들을 적용하고 있으면 충분히 안전할 것이라고 밝혔다.

3줄 요약
1. 지멘스의 의료 전문 자회사에서 CVE-2019-0708 취약점 있는 제품 여럿 발견됨.
2. 소프트웨어는 MS의 패치 적용하면 대부분 해결 가능.
3. 나머지는 지멘스의 패치 따로 받던가, 가까운 지원 센터에 연락해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>