CVE-2020-27177…솔라리스, 리눅스, 윈도용 도큐셰어에서 발견된 구멍
두 가지 공격 가능하게 해…서버 사이드 요청 조작과 비인증 외부 객체 주입 공격

[보안뉴스 문가용 기자] 제록스(Xerox)가 자사 문서 관리 플랫폼인 도큐셰어(DocuShare)에서 발견된 두 가지 공격 가능성을 열어 두는 취약점을 패치했다. 이 취약점을 익스플로잇 하는 데 성공할 경우 도큐셰어 사용자들의 민감한 정보가 탈취될 수 있다고 한다.


미국 현지 시간 기준으로 수요일 국토안보부 산하 사이버 보안 담당 부서인 CISA는 보안 권고문을 발표해 “제록스 도큐셰어의 취약점을 패치하라”고 권고했다. 여기서 말한 취약점은 도큐셰어 6.6.1, 7.0, 7.5 버전에서 발견된 두 가지 보안 구멍들을 하나로 합친 것을 말한다. 이 취약점은 ‘중요’ 등급을 받았다.

취약점 관리 번호는 CVE-2020-27177이다. 제록스에 의하면 이 취약점은 솔라리스, 리눅스, 윈도용 도큐셰어 모두에 영향을 주며, 서버 사이드 요청 조작(SSRF) 공격과 비인증 외부 XML 객체 주입 공격(XXE)를 가능하게 만들어 준다고 한다. 이에 대한 보안 권고문을 제록스가 발표한 건 11월 30일의 일이다.

하지만 제록스는 이 취약점의 상세한 기술 정보나 공격 시나리오는 공개하지 않았다. 대략적인 내용과 함께 핫픽스의 링크만 ‘미니 불레틴’ 형태로 제공하고 있을 뿐이다. 그나마도 솔라리스용 도큐셰어 7.5 버전의 경우는 아직 존재하지 않는다. 배포 예정일조차 아직 잡혀있지 않다.

SSRF 공격은, 공격자가 서비스형 소프트웨어(SaaS) 형태의 도큐셰어가 호스팅 되어 있는 서버의 기능을 악용하는 것을 말한다. 성공할 경우 공격자는 서버에 침투해 내부 자원들을 자유롭게 열람할 수 있게 된다. “공격자들은 AWS 메타데이터와 같은 서버 설정 내용도 읽을 수 있게 됩니다. 내부 데이터베이스망에도 접속이 가능하고요. 이 공격은 외부로 드러나면 안 되는 것들이 드러날 수 있다는 위험성을 가지고 있습니다.” 오와습(OWASP)이 발표한 SSRF 공격에 대한 정의다.

XXE 공격은 XML 입력값을 확인하는 애플리케이션을 겨냥한 공격이다. “외부 조직이나 자원과 연결된 링크 등이 포함된 XML 입력값을 확인 애플리케이션이 제대로 확인하지 못해서 그대로 통과시킬 때 이 공격을 성립시킬 수 있습니다.” 역시 오와습이 발표한 XXE 공격에 대한 설명이다. 이 공격에 성공하면 해커는 기밀 데이터에 접근하고 추가 공격을 이어갈 수 있게 된다.

추가 공격에는 다음과 같은 것들이 포함된다.
1) 서비스 마비 공격
2) 서버 사이드 요청 조작 공격
3) 포트 스캐닝

트위터에서 MrTuxracer라는 이름을 사용하는 보안 전문가인 줄리엔 아렌스(Julien Ahrens)가 이 취약점을 제일 처음 찾아낸 것으로 제록스는 발표했다.

3줄 요약
1. 제록스의 문서 관리 플랫폼에서 취약점 발견됨.
2. 은밀하고 민감한 정보들을 빼돌릴 수 있게 해 주는 취약점.
3. 특히 SSRF 공격과 XXE 공격을 가능하게 해 주는 것으로 알려져 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>