Home > 전체기사
NSA가 배포한 리버스 엔지니어링 툴에서 취약점 발견돼
  |  입력 : 2019-03-21 11:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
NSA에서 나온 툴 기드라, 등장하자마자 취약점 나타나
텐센트에서는 개념증명까지 상세하게 공개...9.0.1 버전부터 해결


[보안뉴스 문가용 기자] NSA가 3월 초 공개한 리버스 엔지니어링 툴인 기드라(Ghidra)에서 취약점이 발견됐다. 이 취약점을 익스플로잇 할 경우 원격에서 코드를 실행하는 게 가능하다고 한다.

[이미지 = iclickart]


이 오류는 일종의 XXE(XML External Entity) 문제로, 기드라 프로젝트의 로딩 과정에서 발견됐다. 그것도 기드락 공개되고서 얼마 지나지 않은 시점에서였다. 프로젝트를 열거나(open) 복구할 때(restore) 영향을 주며, 특수하게 조작된 프로젝트를 정상적인 사용자가 열거나 복구하도록 유도할 수 있다면 취약점 익스플로잇이 가능하게 된다.

깃허브(GitHub)가 이 문제에 대해 발표한 내용에 따르면 “프로젝트를 생성하고, 닫은 후, 프로젝트 디렉토리 내에 있는 XML 파일들 중 아무거나 골라 XXE 페이로드를 삽입하면 문제를 일으킬 수 있다”며 “프로젝트를 다시 여는 순간 페이로드가 실행된다”고 설명한다.

이 문제를 최초로 발견한 건 sghctoma라는 온라인 닉네임을 사용하는 보안 전문가로, “이 취약점은 .gar 파일들을 통해서도 발동시킬 수 있다”고 한다.

중국 현지 시각으로 이번 주 월요일 텐센트 시큐리티(Tencent Security)의 전문가들은 이 XXE 오류를 악용해 원격에서 코드를 실행시키는 방법에 대해 보고서를 발표하기도 했다. “저희의 연구에 따르면 윈도우 OS의 NTLM 프로토콜에서 발견된 취약점과 자바 기능을 남용하여 원격 코드 실행 상태를 만드는 게 가능합니다.”

그러면서 텐센트는 “원격에서 이 취약점을 남용하려면 제일 먼저 NTLM 인증 장치가 있는 HTTP 서버를 구축하고, XXE/SSRF 취약점을 통해 NTLM 인증 절차를 강제로 통과시켜야 한다”고 설명했다. 그런 후에는 “NTLM 릴레이(NTLM Relay) 공격을 활용해 로컬 인증에서 네트워크 인증으로 옮겨갈 수 있다”고 덧붙였다.

텐센트는 기드라의 XXE 오류를 익스플로잇해서 코드를 실행시키는 방법을 상세히 설명하며 개념증명도 발표했다. “사용자가 기드라를 사용해 악성 프로젝트를 열도록 유도할 수 있다면 공격자는 사용자의 NTLM 해시를 얻어낼 수 있습니다. 그리고 이를 통해 코드를 실행할 수 있게 되는 겁니다.”

이 문제를 완화시키려면 윈도우 방화벽을 설정해 SMB 요청이 들어오는 것을 차단해야 한다. 또한 SMB 사인(SMB Sign)을 활성화시키고, JDK를 최신 버전으로 업데이트 시키는 것도 중요하다고 한다.

한편 기드라 9.0.1 버전에서부터는 이 XXE 오류가 사라질 예정이다. 하지만 9.0.1 버전의 배포 예정일은 아직 정해지지 않았다.

3줄 요약
1. 얼마 전 NSA가 공개한 리버스 엔지니어링 툴 기드라에서 취약점 발견됨.
2. XXE 취약점으로, 공격자가 익스플로잇 해서 코드를 실행할 수 있게 해줌.
3. 기드라 9.0.1 나오면 XXE 문제는 해결될 것으로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)