NSA가 배포한 리버스 엔지니어링 툴에서 취약점 발견돼

NSA에서 나온 툴 기드라, 등장하자마자 취약점 나타나
텐센트에서는 개념증명까지 상세하게 공개...9.0.1 버전부터 해결

[보안뉴스 문가용 기자] NSA가 3월 초 공개한 리버스 엔지니어링 툴인 기드라(Ghidra)에서 취약점이 발견됐다. 이 취약점을 익스플로잇 할 경우 원격에서 코드를 실행하는 게 가능하다고 한다.

[이미지 = iclickart]

이 오류는 일종의 XXE(XML External Entity) 문제로, 기드라 프로젝트의 로딩 과정에서 발견됐다. 그것도 기드락 공개되고서 얼마 지나지 않은 시점에서였다. 프로젝트를 열거나(open) 복구할 때(restore) 영향을 주며, 특수하게 조작된 프로젝트를 정상적인 사용자가 열거나 복구하도록 유도할 수 있다면 취약점 익스플로잇이 가능하게 된다.

깃허브(GitHub)가 이 문제에 대해 발표한 내용에 따르면 “프로젝트를 생성하고, 닫은 후, 프로젝트 디렉토리 내에 있는 XML 파일들 중 아무거나 골라 XXE 페이로드를 삽입하면 문제를 일으킬 수 있다”며 “프로젝트를 다시 여는 순간 페이로드가 실행된다”고 설명한다.

이 문제를 최초로 발견한 건 sghctoma라는 온라인 닉네임을 사용하는 보안 전문가로, “이 취약점은 .gar 파일들을 통해서도 발동시킬 수 있다”고 한다.

중국 현지 시각으로 이번 주 월요일 텐센트 시큐리티(Tencent Security)의 전문가들은 이 XXE 오류를 악용해 원격에서 코드를 실행시키는 방법에 대해 보고서를 발표하기도 했다. “저희의 연구에 따르면 윈도우 OS의 NTLM 프로토콜에서 발견된 취약점과 자바 기능을 남용하여 원격 코드 실행 상태를 만드는 게 가능합니다.”

그러면서 텐센트는 “원격에서 이 취약점을 남용하려면 제일 먼저 NTLM 인증 장치가 있는 HTTP 서버를 구축하고, XXE/SSRF 취약점을 통해 NTLM 인증 절차를 강제로 통과시켜야 한다”고 설명했다. 그런 후에는 “NTLM 릴레이(NTLM Relay) 공격을 활용해 로컬 인증에서 네트워크 인증으로 옮겨갈 수 있다”고 덧붙였다.

텐센트는 기드라의 XXE 오류를 익스플로잇해서 코드를 실행시키는 방법을 상세히 설명하며 개념증명도 발표했다. “사용자가 기드라를 사용해 악성 프로젝트를 열도록 유도할 수 있다면 공격자는 사용자의 NTLM 해시를 얻어낼 수 있습니다. 그리고 이를 통해 코드를 실행할 수 있게 되는 겁니다.”

이 문제를 완화시키려면 윈도우 방화벽을 설정해 SMB 요청이 들어오는 것을 차단해야 한다. 또한 SMB 사인(SMB Sign)을 활성화시키고, JDK를 최신 버전으로 업데이트 시키는 것도 중요하다고 한다.

한편 기드라 9.0.1 버전에서부터는 이 XXE 오류가 사라질 예정이다. 하지만 9.0.1 버전의 배포 예정일은 아직 정해지지 않았다.

3줄 요약
1. 얼마 전 NSA가 공개한 리버스 엔지니어링 툴 기드라에서 취약점 발견됨.
2. XXE 취약점으로, 공격자가 익스플로잇 해서 코드를 실행할 수 있게 해줌.
3. 기드라 9.0.1 나오면 XXE 문제는 해결될 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)