Home > 전체기사

거의 모든 리눅스 배포판에서 발견된 폰킷 취약점, 공격 난이도 낮아

  |  입력 : 2022-01-27 14:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
리눅스 생태계에서 자꾸만 문제들이 나오고 있다. 현대 IT 인프라가 리눅스에 많이 의존하고 있기 때문에 보안 전문가와 해커들 모두 연구를 활발히 하기 때문이다. 리눅스 보호와 관리를 책임지고 있는 담당자들이라면 이번 패치를 시급하게 적용할 필요가 있다.

[보안뉴스 문가용 기자] 리눅스 배포판 거의 전부에 탑재되어 있는 인증 소프트웨어에서 로컬 권한 상승 취약점이 발견됐다. 익스플로잇이 매우 쉬우며, 오류에 대한 기술적 설명만 가지고도 해킹 공격을 시연한 사례가 벌써 등장했다고 한다. 문제의 취약점은 폴킷(polkit)이라고 하는 요소에서 발견되었으며, 이 요소는 페도라, 우분투, 데비안, 센트OS 등 ‘메이저급’ 배포판 모두에 포함되어 있다.

[이미지 = utoimage]


보안 업체 퀄리스(Qualys)에 의하면 폴리킷의 예전 이름은 폴리시킷(PolicyKit)이었다고 한다. 보안 정책과 관련된 요소이며, 인증을 담당한다. 이번에 발견된 취약점을 익스플로잇 하는 데 성공하면 누구나 루트 권한을 가져갈 수 있게 된다. 루트 권한을 가져가면 공격자가 원하는 모든 것을 할 수 있다는 뜻으로, 퀄리스는 “시급히 패치해야 할 취약점임에 분명하다”고 경고했다. 퀄리스는 이 취약점에 폰킷(PwnKit)이라는 이름을 붙였다.

“폰킷은 매우 위험한 취약점입니다. 연관된 리눅스 배포판이 널리 사용되고 있으며, 취약점 익스플로잇이 매우 쉽기 때문입니다.” 퀄리스의 취약점 분석 책임자인 바랏 조기(Bharat Jogi)의 설명이다. “현대 IT 인프라는 리눅스에 대한 의존도가 대단히 높은 편입니다. 그리고 그러한 사실을 인지하지 못하는 IT 담당자들도 상당히 많습니다. 폰킷 취약점은 12년도 넘게 거의 모든 리눅스 배포판에 존재해왔던 취약점이라 누군가는 이미 알고 있을 가능성도 높습니다. 패치를 미루지 않는 것이 좋습니다.”

빠르게 패치를 진행해야 한다는 퀄리스의 권고에 힘이 실리는 사건도 바로 어제 밤에 발생했다. 크로아티아의 보안 전문가인 보얀 츠드르냐(Bojan Zdrnja)가 퀄리스의 취약점 설명서만 보고 익스플로잇을 재현하는 데 성공한 것이다. 츠드르냐는 SANS 인스티튜터의 블로그 게시글을 통해 “아주 간단한 익스플로잇으로 공격에 성공했고, 안정성도 100%”라고 밝혔다. 실험 대상이 되었던 건 우분투 20.04 버전이었다. 츠드르냐는 “공격용 익스플로잇 코드가 조만간 나올 것이 분명해 보인다”고 주장했다.

원래 ‘로컬’ 권한 상승 취약점은 보안 전문가들 사이에서 크게 중요치 않은 존재였다. 원격에서 익스플로잇이 되지 않는다는 뜻이기 때문이다. 공격 대상이 되는 컴퓨터에 직접 접근해야만 하니 실제 공격 가능성은 매우 낮은 것으로 취급되었다. “하지만 요즘 공격자들은 하나의 취약점만을 공략하지 않습니다. 여러 취약점을 연쇄적으로 발동시키고 익스플로잇 하는데, 이런 경우 로컬 취약점도 얼마든지 활용될 수 있죠.” 트렌드마이크로(Trend Micro)의 더스틴 차일즈(Dustin Childs)의 설명이다.

“시대가 바뀌었어요. 이제는 로컬 권한 상승 취약점들도 매우 위험하고 심각한 것으로서 인지하고 조치를 취해야 합니다. 옛날에야 공격자가 물리적으로 접근해서 익스플로잇 했지만 요즘은 다른 코드 실행 취약점들과 같이 엮어서 익스플로잇 하기 때문에 그럴 필요가 없어졌어요. 주로 각종 멀웨어 유포자들과 랜섬웨어 공격자들이 연쇄 익스플로잇 방식을 애용합니다.”

폰킷은 폴킷의 가장 중요한 실행 파일인 pkexec의 아규먼트 처리 방식과 관련이 있는 것으로, 메모리에 저장된 데이터를 조작하게 해 주는 취약점이다. “아무런 아규먼트를 전송하지 않을 경우, pkexec는 갑자기 익스플로잇이 가능한 상태가 됩니다. 이 상태의 취약점에는 CVE-2021-4034라는 관리 번호가 부여됐습니다.” 퀄리스는 “이 파일은 거의 모든 리눅스 시스템에서 발견되고 있어서 파급력이 큽니다.”

조기는 “현대 인프라 보안에 있어서 리눅스의 보호가 얼마나 중요한 위치를 차지하고 있는지를 알려주는 취약점”이라고 해석한다. “리눅스 취약점 관리에 실패할 경우 대단히 민감하고 중요한 자산이 무력하게 노출될 수 있습니다. 이는 거의 모든 산업군에 해당하는 이야기이며, 따라서 당분간 리눅스 보호가 보안 업체의 중요 이슈가 될 것으로 보입니다. 이미 리눅스용 랜섬웨어들이 대거 등장하고 있기도 하고요.”

요즘 들어 리눅스와 관련된 보안 소식들이 자꾸만 나온다는 건 클라우드 생태계가 위험해질 수 있다는 뜻도 된다고 트러스트웨이브(Trustwave)의 보안 전문가 칼 시글러(Karl Sigler)는 지적한다. “클라우드 기반 시스템들 대다수가 리눅스를 기본으로 하고 있죠. 폰킷 취약점에 영향을 받는 서비스가 많을 것입니다. 이는 클라우드 서비스 제공 업체는 물론 사용자 기업들도 꼼꼼하게 살펴야 하는 문제입니다.”

3줄 요약
1. 대다수 리눅스 배포판에서 로컬 권한 상승 취약점 발견됨.
2. 이 취약점의 이름은 폰킷으로, CVE-2021-4034라는 번호로 관리됨.
3. 현대 IT 인프라에서 리눅스는 매우 중요한 위치를 차지하고 있다는 것을 인지해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)