Home > 전체기사

15개 유명 IT 기업들이 만든 서버들, BMC 펌웨어 취약점에 노출돼

  |  입력 : 2023-02-01 15:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
세계 곳곳의 서버 장비들에는 BMC라는 펌웨어들이 존재한다. 그런데 이 펌웨어에 취약점이 5개나 발견됐다. 이 때문에 적잖은 서버들이 공격에 노출될 것으로 예상되는데, 다행히 패치가 나오는 중이다. 이제 이를 빠르게 가져다가 적용하면 된다. 그런데 그 적용 사례가 좀처럼 나오지 않고 있다.

[보안뉴스 문가용 기자] 15개 유명 회사에서 만든 서버들 내 BMC 펌웨어에서 다섯 가지 취약점이 발견됐다. 이 취약점들을 익스플로잇 하는 데 성공하면 데이터센터와 클라우드 생태계에서 널리 사용되는 시스템들을 원격에서 침해할 수 있게 된다고 한다. 이 연구 결과에 영향을 받는 벤더사는 AMD, 에이서스(Asus), ARM, 델(Dell), EMC, HP엔터프라이즈(HP Enterprise), 화웨이(Huawei), 레노버(Lenovo), 엔비디아(Nvidia) 등이다.

[이미지 = utoimage]


보안 업체 에클립시움(Eclypsium)이 지난 12월 세 개의 취약점을 먼저 발견해 공개했다. 하지만 패치 개발에 더 시간을 주기 위해 이번 주까지 남은 두 개의 정보는 공개하지 않았었다. 에클립시움의 수석 첩보 분석가인 네이트 워필드(Nate Warfield)는 “이번에 공개된 취약점들은 서버들이 인터넷에 직접 연결되어 있어야만 익스플로잇이 가능하다”고 설명한다.

“이 취약점이 어느 정도까지 피해를 입힐 수 있는지, 파장이 어느 정도나 될지는 아무도 예측할 수 없습니다. 벤더사들이 취약한 서버를 얼마나 판매했는지, 사용자가 몇 명이나 되는지부터 파악해야 하는데, 그것부터 해결되지 않습니다.”

BMC 펌웨어들은 보통 단일 칩 혹은 SoC(시스템 온 칩) 형태를 가지고 있다. 머더보드에 탑재되며 관리자들이 원격에서 서버를 관리할 수 있도록 해 준다. 사실상 서버에 물리적으로 접근하여 관리하는 것과 거의 동일한 수준의 제어 권한을 관리자에게 주는 것으로 알려져 있다.

에클립시움이 분석한 건 AMI의 메가랙(MegaRAC) 제품으로, 오픈 BMC(Open BMC) 펌웨어 프로젝트를 바탕으로 만들어진 소프트웨어 컬렉션이다. 오픈 BMC는 오픈소스 프로젝트로, BMC 펌웨어를 유지 관리하도록 해 준다.

많은 서버 제조사들이 BMC 소프트웨어/펌웨어에 의존한다. 전 세계 수많은 서버 관리자들 역시 바로 이 BMC에 의존하여 서버를 원격에서 관리할 수 있다는 걸 당연하게 여긴다. “그 만큼 이 BMC라는 게 널리 사용되고 있다는 뜻이고, 그 때문에 이번에 발견된 취약점 5개의 파장은 꽤나 클 것으로 예상합니다. 정확히 파악하는 건 아직 불가능하지만요.”

5개의 취약점
12월이 지나고 1월 30일에 뒤늦게 공개된 취약점들은 다음과 같다.
1) CVE-2022-26872 : 비밀번호 리셋을 가능하게 하는 저위험군 취약점.
2) CVE-2022-40258 : 비밀번호 해싱 알고리즘이 매우 약함. 저위험군 취약점.

이 두 개의 취약점은 12월에 발견된 취약점들보다 심각성이 높지 않다. 12월의 취약점은 다음과 같다.
1) CVE-2022-40259 : BMC API에서 발견된 위험한 명령 실행 취약점.
2) CVE-2022-40242 : 디폴트 크리덴셜을 통해 원격 코드 실행을 가능하게 하는 취약점.
3) CVE-2022-2827 : 원격에서 사용자 이름 목록을 만들 수 있게 해 주는 취약점.

패치 비율, 아직 알려지지 않아
에클립시움의 직접적인 분석 대상이 되었던 AMI는 다섯 개 취약점에 대한 패치를 전부 개발해 배포하고 있다. 다만 이 패치를 서버에 적용하느냐 마느냐는 서버를 직접 관리하고 있는 사용자들의 몫이다. 즉 서버 제조사들의 몫은 패치 개발과 함께 끝나고, 안전에 대한 책임은 사용자가 직접 져야 한다는 것이다. 실제로 HPE, 인텔(Intel), 레노버 등은 이미 패치를 개발해 배포했다.

하지만 서버 패치라는 건 사용자 단에서 ‘결심’만 가지고 진행하기에 여러 가지 어려움들을 내포하고 있다. 서버 패치는 매우 느려, 많은 시간을 필요로 하는 게 보통이다. 또한 클라우드나 데이터센터들의 경우 단 한 순간도 가동이 중단되면 안 되는 곳들도 상당히 많은 비율을 차지한다. 한 번 꺼두는 것도 부담스러운데, 오랜 시간 꺼두어야 한다는 것이다.

워필드는 “그래서 패치가 배포되기 시작하는 시간과, 패치가 실제 사용자 단에서 적용되는 시간 사이에 큰 간극이 존재한다”고 설명한다. “서버와 펌웨어라는 것의 특성상 패치가 부담스러운 게 이해 못할 것도 아닙니다만, 그걸 저희가 이해한다고 해서 공격자들이 사정을 봐주는 게 아닙니다. 사정이 어쨌든 해커들은 취약한 곳을 기쁘게 공략합니다.”

3줄 요약
1. 서버들에 널리 설치되어 있는 BMC 펌웨어에서 취약점 5개 발굴됨.
2. 이 취약점들에 대한 패치를 여러 제조사들이 만들어 배포해야 하고, 이미 시작됨.
3. 사용자들 입장에서 부담스러울 수 있겠지만 패치는 반드시 해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 시큐아이 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)