보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

15개 유명 IT 기업들이 만든 서버들, BMC 펌웨어 취약점에 노출돼

입력 : 2023-02-01 15:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
세계 곳곳의 서버 장비들에는 BMC라는 펌웨어들이 존재한다. 그런데 이 펌웨어에 취약점이 5개나 발견됐다. 이 때문에 적잖은 서버들이 공격에 노출될 것으로 예상되는데, 다행히 패치가 나오는 중이다. 이제 이를 빠르게 가져다가 적용하면 된다. 그런데 그 적용 사례가 좀처럼 나오지 않고 있다.

[보안뉴스 문가용 기자] 15개 유명 회사에서 만든 서버들 내 BMC 펌웨어에서 다섯 가지 취약점이 발견됐다. 이 취약점들을 익스플로잇 하는 데 성공하면 데이터센터와 클라우드 생태계에서 널리 사용되는 시스템들을 원격에서 침해할 수 있게 된다고 한다. 이 연구 결과에 영향을 받는 벤더사는 AMD, 에이서스(Asus), ARM, 델(Dell), EMC, HP엔터프라이즈(HP Enterprise), 화웨이(Huawei), 레노버(Lenovo), 엔비디아(Nvidia) 등이다.

[이미지 = utoimage]


보안 업체 에클립시움(Eclypsium)이 지난 12월 세 개의 취약점을 먼저 발견해 공개했다. 하지만 패치 개발에 더 시간을 주기 위해 이번 주까지 남은 두 개의 정보는 공개하지 않았었다. 에클립시움의 수석 첩보 분석가인 네이트 워필드(Nate Warfield)는 “이번에 공개된 취약점들은 서버들이 인터넷에 직접 연결되어 있어야만 익스플로잇이 가능하다”고 설명한다.

“이 취약점이 어느 정도까지 피해를 입힐 수 있는지, 파장이 어느 정도나 될지는 아무도 예측할 수 없습니다. 벤더사들이 취약한 서버를 얼마나 판매했는지, 사용자가 몇 명이나 되는지부터 파악해야 하는데, 그것부터 해결되지 않습니다.”

BMC 펌웨어들은 보통 단일 칩 혹은 SoC(시스템 온 칩) 형태를 가지고 있다. 머더보드에 탑재되며 관리자들이 원격에서 서버를 관리할 수 있도록 해 준다. 사실상 서버에 물리적으로 접근하여 관리하는 것과 거의 동일한 수준의 제어 권한을 관리자에게 주는 것으로 알려져 있다.

에클립시움이 분석한 건 AMI의 메가랙(MegaRAC) 제품으로, 오픈 BMC(Open BMC) 펌웨어 프로젝트를 바탕으로 만들어진 소프트웨어 컬렉션이다. 오픈 BMC는 오픈소스 프로젝트로, BMC 펌웨어를 유지 관리하도록 해 준다.

많은 서버 제조사들이 BMC 소프트웨어/펌웨어에 의존한다. 전 세계 수많은 서버 관리자들 역시 바로 이 BMC에 의존하여 서버를 원격에서 관리할 수 있다는 걸 당연하게 여긴다. “그 만큼 이 BMC라는 게 널리 사용되고 있다는 뜻이고, 그 때문에 이번에 발견된 취약점 5개의 파장은 꽤나 클 것으로 예상합니다. 정확히 파악하는 건 아직 불가능하지만요.”

5개의 취약점
12월이 지나고 1월 30일에 뒤늦게 공개된 취약점들은 다음과 같다.
1) CVE-2022-26872 : 비밀번호 리셋을 가능하게 하는 저위험군 취약점.
2) CVE-2022-40258 : 비밀번호 해싱 알고리즘이 매우 약함. 저위험군 취약점.

이 두 개의 취약점은 12월에 발견된 취약점들보다 심각성이 높지 않다. 12월의 취약점은 다음과 같다.
1) CVE-2022-40259 : BMC API에서 발견된 위험한 명령 실행 취약점.
2) CVE-2022-40242 : 디폴트 크리덴셜을 통해 원격 코드 실행을 가능하게 하는 취약점.
3) CVE-2022-2827 : 원격에서 사용자 이름 목록을 만들 수 있게 해 주는 취약점.

패치 비율, 아직 알려지지 않아
에클립시움의 직접적인 분석 대상이 되었던 AMI는 다섯 개 취약점에 대한 패치를 전부 개발해 배포하고 있다. 다만 이 패치를 서버에 적용하느냐 마느냐는 서버를 직접 관리하고 있는 사용자들의 몫이다. 즉 서버 제조사들의 몫은 패치 개발과 함께 끝나고, 안전에 대한 책임은 사용자가 직접 져야 한다는 것이다. 실제로 HPE, 인텔(Intel), 레노버 등은 이미 패치를 개발해 배포했다.

하지만 서버 패치라는 건 사용자 단에서 ‘결심’만 가지고 진행하기에 여러 가지 어려움들을 내포하고 있다. 서버 패치는 매우 느려, 많은 시간을 필요로 하는 게 보통이다. 또한 클라우드나 데이터센터들의 경우 단 한 순간도 가동이 중단되면 안 되는 곳들도 상당히 많은 비율을 차지한다. 한 번 꺼두는 것도 부담스러운데, 오랜 시간 꺼두어야 한다는 것이다.

워필드는 “그래서 패치가 배포되기 시작하는 시간과, 패치가 실제 사용자 단에서 적용되는 시간 사이에 큰 간극이 존재한다”고 설명한다. “서버와 펌웨어라는 것의 특성상 패치가 부담스러운 게 이해 못할 것도 아닙니다만, 그걸 저희가 이해한다고 해서 공격자들이 사정을 봐주는 게 아닙니다. 사정이 어쨌든 해커들은 취약한 곳을 기쁘게 공략합니다.”

3줄 요약
1. 서버들에 널리 설치되어 있는 BMC 펌웨어에서 취약점 5개 발굴됨.
2. 이 취약점들에 대한 패치를 여러 제조사들이 만들어 배포해야 하고, 이미 시작됨.
3. 사용자들 입장에서 부담스러울 수 있겠지만 패치는 반드시 해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)