PDF 문서 열람 및 편집하게 해주는 프로그램, 에이블투익스트랙트
취약점 두 개 발견…소프트웨어 개발사는 패치했다고 하지만 찾기 힘들어

[보안뉴스 문가용 기자] 소프트웨어 개발 업체인 인베스트인텍(Investintech)에서 제공하는 서비스 에이블투익스트랙트 프로페셔널(Able2Extract Professional)에서 심각한 취약점들이 발견됐다. 특수하게 조작된 이미지 파일을 통해 익스플로잇이 가능하며, 성공할 경우 임의 코드를 실행할 수 있게 된다고 한다.


인베스트인텍에 의하면 에이블투익스트랙 프로페셔널은 라이선스 사용자만 25만 명 이상이며, 전 세계 135개국에 걸쳐 서비스가 제공되고 있다고 한다. 포춘 100대 기업 중 90%가 이 서비스를 구독하고 있다. 에이블투익스트랙트는 PDF 파일을 열람, 변환, 편집 가능하게 해주는 도구로 다양한 플랫폼에서 활용되고 있다.

이 서비스에서 두 가지 고위험군 취약점을 발견한 건 시스코 탈로스(Cisco Talos) 팀의 보안 전문가들이다. 두 취약점 모두 메모리 변형과 관련되어 있으며, 공격 표적이 된 시스템 내에서 공격자가 임의의 코드를 실행할 수 있게 해준다.

취약점 두 가지는 CVE-2019-5088과 CVE-2019-5089로, 특수하게 조작된 JPEG과 BMP 이미지 파일들을 사용해 익스플로잇 할 수 있다. 공격에 사용되는 이미지 파일들은 아웃오브바운드(out-of-bounds) 메모리 작성 상태를 발동시킬 수 있는 것이어야 한다. 피해자가 자신에게 전달된 이미지 파일을 에이블투익스트랙트 프로페셔널을 사용해 열면 공격이 시작된다.

시스코 탈로스 팀이 이러한 사실을 인베스트인텍 측에 알린 건 8월 초의 일이다. 하지만 패치가 발표된 건 11월 1일이었다. 통상 취약점 정보를 공개하기까지 3개월의 시간을 기다리는데, 딱 그 기간을 채운 것이다.

하지만 패치 배포 상황이 그리 좋아 보이지는 않는다고 탈로스 팀은 공개했다. 일단 패치가 포함된 버전이 어떤 건지가 분명히 공지되지 않고 있다. 탈로스 팀조차 패치된 버전을 찾을 수 없다고 하며, 14.0.7 x64 버전에서 같은 취약점을 찾아내는 데 성공했다고 발표했다.

동시에 탈로스 팀은 - 3개월이 지났으므로 - 두 가지 취약점들에 대한 기술적 세부 내용을 공개하기도 했다. “에이블투익스트랙트 프로페셔널은 사용자가 굉장히 많은 서비스입니다. 이런 서비스에서 발견된 취약점은 공격자들에게 대단히 유용합니다.”

PDF 문서와 관련된 여러 도구들을 제공하는 플랫폼은 에이블투익스트랙트 말고도 여럿 존재한다. 시스코 탈로스 팀은 그러한 플랫폼으로 분류되는 아스포스(Aspose)와 폭스잇(Foxit)에서도 위험한 취약점들을 발견한 바 있다.

PDF 문서는 사무 환경에서 가장 활발히 사용되고 있는 문서 포맷 중 하나로, 이를 다룰 수 있게 해주는 플랫폼들도 인기가 높은 편에 속한다. 따라서 해당 서비스 업체들은 빠르게 패치를 배포해야 할 것이며, 사용자들 역시 패치가 나오면 최대한 빠르게 적용하는 것이 안전하다.

3줄 요약
1. 고객 층 두터운 PDF 서비스인 에이블투익스트랙트 프로페셔널.
2. 고위험군 취약점이 두 개 발견됨.
3. 패치를 했다고는 하나, 도무지 발견할 수가 없음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>