Home > 전체기사
MS의 사물인터넷 보안 플랫폼 애저 스피어에서 발견된 취약점
  |  입력 : 2020-08-26 18:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
권한 상승 취약점 2개와 원격 코드 실행 취약점 2개...패치와 함께 발표돼
코드 실행 버그는 원격 접근 통해 익스플로잇 가능...시스템 완전 장악 가능


[보안뉴스 문가용 기자] 마이크로소프트의 IoT 보안 플랫폼인 애저 스피어(Azure Sphere)에서 발견된 원격 코드 실행 버그들에 대한 세부 내용들이 공개됐다. 더불어 두 개의 권한 상승 오류들에 대한 정보도 함께 공유됐다. 공개자는 시스코의 탈로스(Talos) 팀이다.

[이미지 = utoimage]


애저 스피어는 2018년 RSAC에서 처음 공개된 플랫폼으로, 마이크로컨트롤러 유닛(MCU) 기반 장비들의 보안을 강화하기 위해 고안됐다. 마이크로컨트롤러 유닛을 기반으로 한 장비란 주로 사물인터넷 장비들로, 애저 스피어는 인증서 기반 인증 시스템을 활용한 보안 기술을 기본 탑재시킴으로써 사물인터넷 장비들에 대한 위협을 막는다는 개념을 가지고 있다.

이번에 공개된 원격 코드 실행 취약점 중 하나는 애저 스피어 20.06 버전에서 발견됐으며 일종의 힙 혹은 메모리 내 데이터 관련된 문제라고 볼 수 있다고 한다. 공격자는 셸코드를 활용함으로써 READ_IMPLIES_EXEC을 통해 취약점을 발동시킬 수 있다. 익스플로잇에 성공할 경우 공격자는 시스템을 완전히 장악할 수 있게 된다. 따라서 매우 심각한 문제라고 볼 수 있다는 게 시스코의 입장이다.

다만 두 가지 원격 코드 실행 취약점 모두 원격 접근을 통해서만 익스플로잇이 가능하다. 또한 신뢰가 형성된 애저 스피어 환경 바깥에서는 익스플로잇 할 수 없다. “최초 침투에 활용할 만한 취약점은 아닙니다. 침투 이후에, 공격을 확대시키는 데 있어서 유용할 수 있죠.” 시스코의 설명이다.

두 번째 코드 실행 취약점은 마이크로소프트 애저 스피어 20.07 버전에서 발견됐으며, 로컬의 공격자가 악성 애플리케이션을 애저 스피어의 사물인터넷 생태계에 밀어넣을 수 있다는 것이 핵심이다. “특수하게 조작한 셸코드를 통해 쓰기가 불가능한 메모리에 쓰기를 할 수 있게 되는 것입니다. 이를 통해 공격자는 프로그램을 런타임 동안 변경할 수 있는 셸코드를 실행시킬 수 있습니다.”

탈로스 팀은 두 개의 권한 상승 취약점의 기술 세부 내용도 공개했다. 둘 다 고위험군에 포함되는 것으로 분석됐고, 애저 스피어 20.06 버전에서 나타난다. 하나는 캐퍼빌리티(Capability)라는 접근 제어 기능에 위치해 있고, 특수하게 조작된 ptrace 시스템 호출을 통해 익스플로잇 될 수 있다고 한다.

시스코에 따르면 공격자는 ptrace API를 사용해 또 다른 애저 스피어 프로세스에서 실행 권한을 얻게 된다고 한다. 여기서부터 공격자는 애저 스피어에서 제공되는 여러 가지 기능들을 사용해 입력 및 출력 제어와 관련된 각종 요청들을 실행할 수 있게 된다.

두 번째 권한 상승 취약점은 사물인터넷 장비들의 취약점과 고유 식별자 번호(UID)와 관련이 있다. “애저 스피어 20.06에 있는 uid_map 기능 내에 있는 취약점입니다. 특수하게 조작한 uid_map 파일을 통해 공격자는 여러 애플리케이션에 같은 UID를 부여할 수 있으며, 이를 통해 공격 경로를 확장시킬 수 있게 됩니다.”

이 모든 취약점들을 발견한 건 시스코 탈로스의 클라우디오 보자토(Claudio Bozzato), 데이브 맥다니엘(Dave McDaniel), 리리스 >_>(Lilith >_>)라고 한다. MS는 이 취약점 정보를 전체 공개하기 전인 8월 10일 고객사들에 선 공개 했다고 한다.

3줄 요약
1. MS의 사물인터넷 보안 플랫폼인 애저 스피어에서 여러 심각한 취약점 나옴.
2. 2개는 원격 코드 실행, 2개는 권한 상승 공격을 가능케 함.
3. 네 개 취약점 전부 패치 나왔음. 사용자들의 패치 적용이 권고됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 한해 동안 가장 큰 관심을 갖고 있는 보안 분야는 무엇인가요?
인공지능(AI) 보안
비대면(언택트) 보안
데이터3법/개인정보보호
빅데이터 보안
클라우드 보안
자율주행차 보안
사물인터넷 보안
스마트시티 보안
기타(댓글로)