• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

IBM의 데이터 위험 관리자에서 장비 장악 취약점 발견돼 2020.04.22

IBM의 위협 분석 플랫폼인 IDRM에서 인증 우회, 명령 주입 등의 취약점 나와
세 가지 취약점을 연쇄적으로 익스플로잇 하면 원격 코드 실행 가능하게 돼

[보안뉴스 문가용 기자] IBM 데이터 위험 관리자(IBM Data Risk Manager, IDRM)에서 네 가지 심각한 취약점이 발견됐다. 공격자가 인증 과정을 거치지 않고도 루트에서 원격 코드 실행 공격을 할 수 있게 해준다. 또한 개념증명용 익스플로잇이 이미 존재하는데, IBM은 아직 패치를 내놓지 않고 있다.

[이미지 = iclickart]


IDRM은 소프트웨어 플랫폼으로 위협이 될 만한 데이터를 전혀 다른 보안 시스템에서 수집, 통합해 전 조직적인 보안 위험 분석을 실시한다. 그런데 보안 업체 애자일 인포메이션 시큐리티(Agile Information Security)가 발표한 바에 의하면 IDRM 리눅스(IDRM Linux) 가상기기 2.0.1~2.0.3 버전에서 인증 우회, 명령 주입, 디폴트 비밀번호, 임의 파일 다운로드와 관련된 취약점이 발견됐다고 한다. 이 중 앞에 나와 있는 세 가지를 연달아 익스플로잇 할 경우 원격 코드 실행까지 이어질 수 있다.

애자일 인포메이션 시큐리티는 이러한 내용을 깃허브(https://github.com/pedrib/PoC/blob/master/advisories/IBM/ibm_drm/ibm_drm_rce.md)를 통해 발표했다. 그러면서 “IDRM은 매우 민감한 정보를 처리하는 보안 제품”이라고 설명하며 “IDRM이 침해를 당하면 조직 전체의 침해로까지 이어질 수 있게 된다”고 주장했다. IDRM에는 “조직 내 각종 보안 툴들에 접속할 때 필요한 크리덴셜, 취약점 정보 등이 저장되기 때문”이다.

첫 번째 취약점은 인증 과정을 우회하게 해주는 버그로, IDRM의 API 엔드포인트인 /albatross/user/login에서 발견됐다. 공격자는 특수하게 조작된 인증 요청을 전송함으로써 정상적인 관리자 토큰을 취득할 수 있게 되며, 이를 통해 다양한 API들에 접근할 수 있게 된다고 한다. 또한 일반 웹 사용자 자격으로 로그인해서 인증 쿠키를 생성시킨 다음 이를 활용해 웹 관리자 콘솔에 접근할 수도 있다. 어느 쪽으로든 인증 시스템을 완전히 우회하는 게 가능하다.

두 번째 취약점은 명령 주입 버그다. IDRM이 /albatross/restAPI/v2/nmap/run/scan에 API 하나를 노출시키고 있어서 발생한다. 인증 과정을 통과한 사람이라면 nmap 스캔을 실시할 수 있게 된다. 연구원들은 깃허브에 발표된 내용을 통해 “nmap에 접근할 수 있다는 건 스크립트 파일을 업로드하고, 이를 아규먼트처럼 통과시킴으로써 임의의 명령을 실행할 수 있다는 것”이라며 “파일만 업로드 할 수 있게 된다면 익스플로잇이 가능하다”고 설명했다.

공격자 입장에서는 다행스럽게도 패치 파일들을 처리하고 임의 파일 데이터를 받아들여 /home/a3user/agile3/patches/에 저장하는 메소드가 존재한다. 원래는 패치 파일만을 접수, 처리, 적용하는 메소드이지만 2.0.2 버전의 경우 일찍 프로세스를 중단함으로써 파일 처리에 실패하는 경우가 있다고 한다. 하지만 파일은 그대로 업로드가 되고 디스크에 저장된다.

세 번째 취약점은 디폴트 비밀번호가 하드코드 되어 있다는 것이다. IDRM 가상기기에서 관리자는 디폴트 상 a3user다. 이 사용자는 SSH를 통해 로그인을 하고 수도 명령(sudo command)을 실행할 수 있다. 이 사용자로 로그인하기 위한 비밀번호는 idrm이라고 한다. 이 세 가지 취약점을 연달아 익스플로잇 할 경우, 승인 과정을 무사 통과한 공격자가 IDRM에서 관리자 자격을 얻어 원격 코드 실행을 할 수 있게 된다. 이는 시스템 완전 장악으로도 이어진다. 이에 대한 영상 자료(https://asciinema.org/a/3nJ4lD1pD7XBfEFqkc9qPDUV2)도 존재한다.

IBM 측은 2.0.6 버전을 발표하긴 했지만 애자일 인포메이션 시큐리티 측이 위 취약점들에 대한 내용을 제출하기 전이었다. 따라서 “아직 실험을 다 해보진 못했지만 취약점들이 그대로 있을 가능성이 높다”고 한다. 또한 IBM은 애자일 측이 제출한 취약점 보고서를 점검하지 않겠다는 식으로 초기에 대응했다. 보고서 제출 과정에서 IBM 취약점 공개 프로그램 내부 정책에 부합하지 않는 조건들이 발생했다고 오해했기 때문이었다. 하지만 곧 입장을 바꿔 “다음 업데이트 때 해당 취약점들에 대한 패치를 진행하겠다”고 발표했다.

3줄 요약
1. IBM의 보안 플랫폼인 IDRM에서 심각한 취약점 네 개 발견.
2. 이 중 세 개를 연달아 익스플로잇 할 경우 원격 코드 실행이 가능하게 됨.
3. IBM은 최초에 패치하지 않겠다 했으나 다음 업데이트 때 패치하겠다고 입장 변경.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>