Home > 전체기사
쉘쇼크가 다가 아니다! 새로운 배시 버그 발견
  |  입력 : 2014-09-30 11:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

현재 알려진 배시 취약점은 다섯 가지

일부 전문가 “이건 시작에 불과할지도”


[보안뉴스 문가용] 한국 시간으로 27일 점심(12시) 이전에 배시 기능에서 발견된 쉘쇼크 취약점에 대한 패치를 받았다면 업데이트를 다시 한 번 해야 한다. 배시에서 또 다른 버그가 보고되었기 때문이다. SANS ICS의 책임자인 요하네스 울리히(Johannes Ullrich)는 새롭게 발견된 배시 취약점에 대한 패치는 아직 제대로 이루어지지 않았다고 상세한 내용을 공개했다.

 ▲ 배시, 까고 까도 계속 나오는 양파와 친구를 맺다.


요하네스 울리히가 아직 패치되지 않았다고 밝힌 취약점은 CVE-2014-7186과 -7187, -6277이다. 하지만 9월 24일 처음 발견된 취약점인 CVE-2014-6271과 CVE-7169에 대한 패치는 이루어졌으면 충분히 배포까지 이루어진 상태다.


중요한 건 가장 최근에 발견됐다는 배시 버그는 쉘쇼크와는 또 다른 버그라는 것이다. “여태까지 밝혀진 바에 의하면 환경 변수를 통한 익스플로잇이 가능하지 않습니다. 즉 쉘쇼크에서 가장 큰 문제였던 CGI 벡터가 이번 경우에는 전혀 상관이 없어 보입니다.” 아직도 계속해서 실험과 분석을 진행 중인 울리히의 설명이다.


쉘쇼크 사태에 대응하기 위해 메디컬 인포메틱스 엔지니어링(Medical Informatics Engineering)의 의료 IT 팀은 Shellshocker.net이라는 웹 사이트를 개설했다. 그 사이트에서도 9월 28일 오전 1시 11분(EST, 한국 시간으로 9월 27일 오후 12시 11분) 이전에 나온 패치들은 여전히 취약하다고 밝히고 있다.


“쉘쇼크(CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277)는 GNU의 배시 쉘 내에 있는 취약점으로 공격자들이 감염된 시스템에서 원격에서 명령을 실행할 수 있도록 권한을 줍니다. 2014년 9월 24일 오전 1시 11분(EST) 이후에 시스템 업데이트를 하지 않았다면 여전히 취약한 상태일 가능성이 대단히 높습니다. 1994년 발표된 1.14 버전에서부터 가장 최신 버전인 4.3까지 모두 포함됩니다.”


전문가들은 보고가 된 CVE와 패치 내용을 상세히 대조해보기를 권고하고 있다. 폴 빅시(Paul Vixie)도 그 중 한 사람으로 “자신의 시스템에서 어느 부분이 정확히 패치되었는지 파악하는 게 중요하다”고 강조한다. “요즘에서야 발견된 쉘쇼크는 빙산의 일각이며 앞으로는 훨씬 큰 파도가 밀려오고 있습니다.”


“회사나 조직이 보유하고 있는 모든 스마트 기기의 콘텐츠를 목록화합니다. 그런 후에는 업그레이드나 검수가 불가능한 기기들을 하나하나 대체할 계획을 세웁니다. 물론 이 때는 업그레이드나 검수가 가능한 기기들이어야 합니다. 그런 후에는 그 제품의 제조사에서 패치를 배포할 때까지 기다렸다가 늦지 않게 패치를 합니다.”


빅시는 CVE의 개수가 5개까지 늘어난 것은 그만큼 새로 나온 패치들이 허술하다는 뜻이라고 말한다. 결국 GNU 배시가 환경 변수의 내용을 평가하는 기능을 가졌기 때문에 생긴 것이라고 말하는 그는 소프트웨어 코드 내에 있는 “불필요한 사항”이라고 직언을 서슴지 않았다.


벡트라 네트웍스(Vectra Networks)의 CTO인 올리버 타바콜리(Oliver Tavakoli)는 “취약점 발견에는 항상 두 가지 기간이 존재한다”며 “첫 번째 기간은 취약점이 보고되기 이전 단계로 아주 적은 수의 해커들이 이를 활용해 공격을 시도합니다. 두 번째 기간은 취약점이 공개적으로 보고되었으나 아직 패치가 이루어진 때로 세상의 거의 모든 해커들이 이 취약점을 공략하기 시작합니다”라고 이번에 발발한 배시 사태도 이것에 크게 벗어나지 않았음을 짚어냈다. “결국 언제 새로운 취약점이 등장하고, 그것을 누가 어떻게 활용 혹은 악용할 것인지 예견하는 건 불가능하다는 것입니다. 그때그때 빠르게 대처하는 것이 중요하죠.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)