보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

VM웨어, 해킹 대회서 발견된 취약점 긴급하게 패치

  |  입력 : 2018-11-12 09:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
중국의 긱폰 대회서 공개된 가상 기계 탈출 취약점
VM웨어, 고객들에게 기술적인 세부 내용 공개하며 패치 배포


[보안뉴스 문가용 기자] VM웨어(VMware)가 최근 중국에서 열린 해킹 대회인 긱폰2018(GeekPwn2018)에서 공개된 가상 기계 탈출 취약점에 대한 패치를 긴급하게 개발, 발표했다.

[이미지 = iclickart]


중국의 기업인 킨 클라우드 테크(Keen Cloud Tech)가 주최하는 해킹 콘테스트인 긱폰은 2014년부터 시작된 대회로, 중요한 취약점들이 꽤나 많이 발굴되기도 했다. 그러면서 세계 보안 전문가 및 해커들로부터 관심을 받기 시작했고, 2017년부터는 미국에서도 같은 대회가 열렸다.

올해 열린 긱폰2018 행사는 중국 상해에서 10월 24~25일에 열렸다. 이 대회에 입상한 자들에게 줄 상금은 80만 달러였다.

많은 전문가들이 취약점 관련 보고서를 제출했는데, 그중 중국 보안 업체인 차이틴 테크(Chaitin Tech)에서 제출한 내용이 많은 관심을 끌었다. VM웨어에서 출시한 제품 일부에서 발견된 ‘게스트에서 호스트로의 탈출 취약점(guest-to-host escape vulnerability)’에 관한 것으로, VM웨어 제품 사용자들로서는 치명적인 버그였다. 여기에 차이틴 테크 측은 정보 노출 관련 버그도 하나 추가로 제보하기도 했다.

가상 기계 탈출 버그가 대회를 통해 알려지고 얼마 지나지 않아 차이틴 테크는 트위터를 통해 “VM웨어의 ESXi를 탈출해서 호스트 시스템의 루트 셸을 취득한 건 이번이 처음”이라고 발표했으며, 익스플로잇을 실제로 실행하는 것을 영상으로 녹화해 공개하기도 했다.

이에 VM웨어는 고객들에게 이 취약점에 대한 세부 내용을 알렸고 3일 후에는 패치와 권고문을 발표했다.

VM웨어에 의하면 취약점은 CVE-2018-6981과 CVE-2018-6982이며, vmxnet3 가상 기계 어댑터의 초기 설정이 되지 않은 스택 메모리 사용 버그의 일종이라고 한다.

CVE-2018-6981은 ESXi, 퓨전(Fusion), 워크스테이션(Workstation) 제품들에서 발견되는 것으로, 게스트 상태에서 호스트에 임의 코드를 실행할 수 있게 해준다. CVE-2018-6982는 ESXi에서만 발견된 취약점으로 호스트에서 게스트로의 정보 유출을 야기한다. VM웨어는 “취약점들이 vmxnet3 어댑터가 활성화 된 상태에서만 익스플로잇 가능하다”며 “다른 어댑터를 사용하면 취약점이 나타나지 않는다”고 발표하기도 했다.

VM웨어는 이 두 가지 취약점 모두에 대한 업데이트를 개발했고, 이를 현재 배포 중에 있다.

차이틴 테크의 보안 전문가들은 폰투온(Pwn2Own) 해킹 대회에서도 여러 차례 입상한 바 있다. 나름 이런 대회에서 입지를 잘 쌓아두고 있는 조직이라는 것이다. 하지만 긱폰 대회에서 VM웨어 제품의 취약점을 발표한 것으로 상금을 얼마나 받았는지는 아직 공개되지 않고 있다.

3줄 요약
1. 중국의 해킹 대회 긱폰, 중요한 취약점들 공개되며 중요한 대회로 부상 중.
2. 최근 VM웨어 제품에서 심각한 취약점이 두 가지 발견됨.
3. VM웨어는 이에 대한 패치를 긴급하게 개발해 발표했음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북