권한 상승 취약점 2개와 원격 코드 실행 취약점 2개...패치와 함께 발표돼
코드 실행 버그는 원격 접근 통해 익스플로잇 가능...시스템 완전 장악 가능

[보안뉴스 문가용 기자] 마이크로소프트의 IoT 보안 플랫폼인 애저 스피어(Azure Sphere)에서 발견된 원격 코드 실행 버그들에 대한 세부 내용들이 공개됐다. 더불어 두 개의 권한 상승 오류들에 대한 정보도 함께 공유됐다. 공개자는 시스코의 탈로스(Talos) 팀이다.


애저 스피어는 2018년 RSAC에서 처음 공개된 플랫폼으로, 마이크로컨트롤러 유닛(MCU) 기반 장비들의 보안을 강화하기 위해 고안됐다. 마이크로컨트롤러 유닛을 기반으로 한 장비란 주로 사물인터넷 장비들로, 애저 스피어는 인증서 기반 인증 시스템을 활용한 보안 기술을 기본 탑재시킴으로써 사물인터넷 장비들에 대한 위협을 막는다는 개념을 가지고 있다.

이번에 공개된 원격 코드 실행 취약점 중 하나는 애저 스피어 20.06 버전에서 발견됐으며 일종의 힙 혹은 메모리 내 데이터 관련된 문제라고 볼 수 있다고 한다. 공격자는 셸코드를 활용함으로써 READ_IMPLIES_EXEC을 통해 취약점을 발동시킬 수 있다. 익스플로잇에 성공할 경우 공격자는 시스템을 완전히 장악할 수 있게 된다. 따라서 매우 심각한 문제라고 볼 수 있다는 게 시스코의 입장이다.

다만 두 가지 원격 코드 실행 취약점 모두 원격 접근을 통해서만 익스플로잇이 가능하다. 또한 신뢰가 형성된 애저 스피어 환경 바깥에서는 익스플로잇 할 수 없다. “최초 침투에 활용할 만한 취약점은 아닙니다. 침투 이후에, 공격을 확대시키는 데 있어서 유용할 수 있죠.” 시스코의 설명이다.

두 번째 코드 실행 취약점은 마이크로소프트 애저 스피어 20.07 버전에서 발견됐으며, 로컬의 공격자가 악성 애플리케이션을 애저 스피어의 사물인터넷 생태계에 밀어넣을 수 있다는 것이 핵심이다. “특수하게 조작한 셸코드를 통해 쓰기가 불가능한 메모리에 쓰기를 할 수 있게 되는 것입니다. 이를 통해 공격자는 프로그램을 런타임 동안 변경할 수 있는 셸코드를 실행시킬 수 있습니다.”

탈로스 팀은 두 개의 권한 상승 취약점의 기술 세부 내용도 공개했다. 둘 다 고위험군에 포함되는 것으로 분석됐고, 애저 스피어 20.06 버전에서 나타난다. 하나는 캐퍼빌리티(Capability)라는 접근 제어 기능에 위치해 있고, 특수하게 조작된 ptrace 시스템 호출을 통해 익스플로잇 될 수 있다고 한다.

시스코에 따르면 공격자는 ptrace API를 사용해 또 다른 애저 스피어 프로세스에서 실행 권한을 얻게 된다고 한다. 여기서부터 공격자는 애저 스피어에서 제공되는 여러 가지 기능들을 사용해 입력 및 출력 제어와 관련된 각종 요청들을 실행할 수 있게 된다.

두 번째 권한 상승 취약점은 사물인터넷 장비들의 취약점과 고유 식별자 번호(UID)와 관련이 있다. “애저 스피어 20.06에 있는 uid_map 기능 내에 있는 취약점입니다. 특수하게 조작한 uid_map 파일을 통해 공격자는 여러 애플리케이션에 같은 UID를 부여할 수 있으며, 이를 통해 공격 경로를 확장시킬 수 있게 됩니다.”

이 모든 취약점들을 발견한 건 시스코 탈로스의 클라우디오 보자토(Claudio Bozzato), 데이브 맥다니엘(Dave McDaniel), 리리스 >_>(Lilith >_>)라고 한다. MS는 이 취약점 정보를 전체 공개하기 전인 8월 10일 고객사들에 선 공개 했다고 한다.

3줄 요약
1. MS의 사물인터넷 보안 플랫폼인 애저 스피어에서 여러 심각한 취약점 나옴.
2. 2개는 원격 코드 실행, 2개는 권한 상승 공격을 가능케 함.
3. 네 개 취약점 전부 패치 나왔음. 사용자들의 패치 적용이 권고됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>