CVE-2020-1938...이름은 고스트캣...익스플로잇 성공할 경우 파일 열람 가능
서버가 업로드 가능하게 설정되어 있다면 원격 임의 코드 실행까지도 가능하게 돼

[보안뉴스 문가용 기자] 아파치 톰캣(Apache Tomcat)에서 심각한 취약점이 발견됐다. 익스플로잇에 성공할 경우 공격자는 서버로부터 파일을 읽을 수 있게 되고, 특정 조건이 갖춰지면 원격 코드 실행 공격도 할 수 있게 된다고 한다.


이 취약점은 CVE-2020-1938로, 고스트캣(Ghostcat)이라는 이름이 붙었다. 중국의 사이버 보안 전문 업체인 차이틴 테크(Chaitin Tech)의 전문가들이 발견했다. 이들은 아파치 소프트웨어 재단(Apache Software Foundation)에 1월 3일, 이 사실을 알렸다.

취약점의 영향을 받는 건 아파치 톰캣 6, 7, 8, 9 버전이다. 패치는 얼마 전부터 배포되기 시작한 것으로 알려져 있다. 패치가 적용되어 나온 버전은 9.0.31, 8.5.51, 7.0.100이다. 버전 6의 경우는 지원이 끝났기 때문에 패치가 나오지 않을 가능성이 높다. 버전 6이 10년 전에 나왔다는 걸 생각하면, 이 취약점은 10년도 넘게 존재해왔던 것으로 보인다.

차이틴의 전문가들에 의하면 고스트캣 취약점은 아파치 제이서브 프로토콜(Apache JServ Protocol, AJP)이라는 것과 관련이 깊다. AJP는 웹 서버에서 애플리케이션 서버로 통과되는 인바운드 요청들을 프록시 처리함으로써 속도를 높이는 데 활용된다.

고스트캣 취약점의 영향을 받는 건 톰캣 내에 있는 AJP 커넥터로, 원격에서 인증 과정을 통과히지 못하더라도 공격을 통해 서버에 있는 웹 애플리케이션들의 설정파일과 소스코드 파일에 접근할 수 있게 해준다. 시스템이 사용자의 업로드를 허용해주고 있는 상태라면 공격자가 악성 자바서버 페이지(JavaServer Pages, JSP) 코드를 업로드 해서 실행시킬 수도 있게 된다.

고스트캣은 톰캣의 디폴트 설정에 영향을 주며, 따라서 많은 서버들이 현재 취약점에 노출되어 있을 가능성이 높다. 사용자들이 디폴트 설정을 잘 바꾸지 않기 때문이다. 이 말은 많은 서버들이 현재 인터넷에 노출되어 있을 수 있다는 뜻이다.

차이틴은 이 취약점에 대한 상세 정보와 함께 개념증명용 익스플로잇을 공개했다. 그러면서 이 취약점에 대해 알고 있던 다른 보안 전문가들도 세부 내용을 공개한 상태다. 차이틴은 온라인과 오프라인에서 서버의 고스트캣 취약점 보유 여부를 확인할 수 있게 해주는 도구를 무료로 배포하기도 했다. 이 도구는 여기(https://www.chaitin.cn/en/ghostcat#download) 다운로드가 가능하다.

레드햇(Red Hat)과 수세(SUSE) 버전의 리눅스도 고스트캣 취약점에 노출되어 있는 것으로 알려져 있으며, 각 버전의 개발 팀들은 보안 권고 사항을 발표하기도 했다. 보안 업체 테너블(Tenable) 역시 취약점 분석 내용을 공개했다.

레드햇의 보안 권고문은 여기(https://access.redhat.com/security/cve/cve-2020-1938), 수세의 보안 권고문은 여기(https://www.suse.com/security/cve/CVE-2020-1938/), 테너블의 분석 내용은 여기(https://www.tenable.com/blog/cve-2020-1938-ghostcat-apache-tomcat-ajp-file-readinclusion-vulnerability-cnvd-2020-10487)서 열람이 가능하다.

3줄 요약
1. 아파치 톰캣에서 심각한 취약점인 고스트캣 발견됨.
2. 익스플로잇 성공할 경우 파일 열람 및 원격 코드 실행(일부 경우) 가능하게 됨.
3. 발견한 보안 전문가들, 무료 점검 도구 배포했으므로 다운해 점금해야 안전.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>