엔비디아, 자사 제품에서 발견된 취약점 다수 패치해

입력 : 2020-03-03 11:27

GPU 드라이버와 가상 GPU 관리자에서 나온 취약점 5개 패치돼
중위험군과 고위험군에 분포되어 있어...가장 위험한 취약점은 8.4점짜리

[보안뉴스 문가용 기자] 그래픽 카드 제조사인 엔비디아가 소프트웨어 보안 업데이트를 발표했다. 자사 GPU 드라이버와 가상 GPU 관리자(Virtual GPU Manager) 소프트웨어에서 발견된 취약점들을 해결하기 위해서다.


먼저 GPU 디스플레이 드라이버에서 발견된 취약점은 두 개다. CVE-2020-5957이 한층 더 위험한 취약점으로 CVSS 기준으로 8.4점을 받았다. 윈도우용 GPU 드라이버 내 엔비디아 제어판(NVIDIA Control Panel) 요소에 위치해 있다.

로컬 시스템에 접근하는 데 성공한 공격자라면 이 취약점을 익스플로잇 해서 시스템 파일을 변경시키는 게 가능하다. 이를 통해 시스템을 ‘서비스 마비’ 상태로 만들 수도 있고 권한을 상승시킬 수도 있다. 디도스 공격과 권한 상승 공격이 가능하다는 것이다.

다른 하나는 CVE-2020-5958로 CVSS 기준으로 6.7점을 받았다. 역시 GPU 디스플레이 내에서 발견되었으며 로컬의 공격자가 악성 DLL 파일을 심을 수 있도록 해준다. 여기까지 성공한 공격자는 코드 실행 공격, 디도스 공격, 정보 노출 공격을 할 수 있게 된다.

엔비디아는 GPU 디스플레이 드라이버(GPU Display Driver) 442.50 버전, 423.28 버전, 426.50 버전, 392.59 버전을 발표하며 위 두 가지 취약점을 해결했다.
1) 442.50 : R440 버전을 기반으로 한 지포스(GeForce), 쿼드로(Quadro), NVS 제품군
2) 432.28 : R430 버전을 기반으로 한 쿼드로, NVS 제품군
3) 426.50 : R418 버전을 기반으로 한 쿼드로, NVS 제품군
4) 392.59 : R390 버전을 기반으로 한 쿼드로, NVS 제품군

R418 버전을 기반으로 한 테슬라(Tesla) 제품군을 위한 패치 버전도 발표됐다. 426.50으로 위 두 가지 취약점이 해결된 상태다. R440 버전을 위한 업데이트는 3월 9일에 마저 배포되기 시작할 예정이다.

가상 GPU 관리자(vGPU)에서는 세 개의 취약점이 발견됐다. 가장 위험한 건 CVE-2020-5959로 CVSS 기준 7.8점을 받았다. vGPU 플러그인에 존재하는 것으로 입력 값을 제대로 확인하지 않아서 발생한다. 시스템에 대한 디도스 공격을 실시할 수 있게 해준다.

두 번째는 CVE-2020-5960으로 CVSS를 기준으로 6.5점을 받았다. 커널 모듈인 nvidia.ko에서 나타난 것으로 널 포인터가 나타나는 현상으로 인해 디도스 상태가 나타난다. 세 번째는 vGPU 그래픽 드라이버에서 나타난 CVE-2020-5961이며 CVSS 기준 5.5점을 받았다. 역시 디도스 공격을 일으키는 데 활용될 수 있다.

vGPU 8.0~8.2 버전의 경우, 8.3 버전으로 업데이트 하면 문제가 해결된다. 윈도우용 vGPU 그래픽 드라이버는 426.52 버전으로, 리눅스용 vGPU 그래픽 드라이버는 418.130 버전으로 업그레이드 해야 한다. vGPU 소프트웨어 9.0~9.2 버전을 위한 패치는 3월 9일에 나올 예정이며, 10.0~10.1을 위한 패치는 4월 중에 나온다.

3줄 요약
1. 엔비디아, 자사 제품에서 발견된 여러 취약점에 대한 패치 발표.
2. 대부분 중위험군~고위험군에 속한 것으로, 디도스 및 권한 상승 공격 등을 할 수 있게 함.
3. 3월과 4월에 나올 예정인 패치도 있어 기다렸다가 제 때 적용해야 안전.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  라자루스·안다리엘·김수키까지 北 해커조직 총...

• 2

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  [이슈인터뷰] 과기정통부 심주섭 과장 “상반...

• 5

  ‘2024년 과학기술·정보통신의 날’ 기념식...

• 1

  사이버 보안 전문가 자격을 나라에서 직접 주...

• 2

  VPN 겨냥한 비밀번호 분사 공격 유행하고 ...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 5

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  집 앞에 우편물 도착안내서가? 신종 보이스피...

• 3

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 4

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 5

  2023년 가장 주목받은 사이버 위협 커뮤니...