NSA가 배포한 리버스 엔지니어링 툴에서 취약점 발견돼

NSA에서 나온 툴 기드라, 등장하자마자 취약점 나타나
텐센트에서는 개념증명까지 상세하게 공개...9.0.1 버전부터 해결

[보안뉴스 문가용 기자] NSA가 3월 초 공개한 리버스 엔지니어링 툴인 기드라(Ghidra)에서 취약점이 발견됐다. 이 취약점을 익스플로잇 할 경우 원격에서 코드를 실행하는 게 가능하다고 한다.

[이미지 = iclickart]

이 오류는 일종의 XXE(XML External Entity) 문제로, 기드라 프로젝트의 로딩 과정에서 발견됐다. 그것도 기드락 공개되고서 얼마 지나지 않은 시점에서였다. 프로젝트를 열거나(open) 복구할 때(restore) 영향을 주며, 특수하게 조작된 프로젝트를 정상적인 사용자가 열거나 복구하도록 유도할 수 있다면 취약점 익스플로잇이 가능하게 된다.

깃허브(GitHub)가 이 문제에 대해 발표한 내용에 따르면 “프로젝트를 생성하고, 닫은 후, 프로젝트 디렉토리 내에 있는 XML 파일들 중 아무거나 골라 XXE 페이로드를 삽입하면 문제를 일으킬 수 있다”며 “프로젝트를 다시 여는 순간 페이로드가 실행된다”고 설명한다.

이 문제를 최초로 발견한 건 sghctoma라는 온라인 닉네임을 사용하는 보안 전문가로, “이 취약점은 .gar 파일들을 통해서도 발동시킬 수 있다”고 한다.

중국 현지 시각으로 이번 주 월요일 텐센트 시큐리티(Tencent Security)의 전문가들은 이 XXE 오류를 악용해 원격에서 코드를 실행시키는 방법에 대해 보고서를 발표하기도 했다. “저희의 연구에 따르면 윈도우 OS의 NTLM 프로토콜에서 발견된 취약점과 자바 기능을 남용하여 원격 코드 실행 상태를 만드는 게 가능합니다.”

그러면서 텐센트는 “원격에서 이 취약점을 남용하려면 제일 먼저 NTLM 인증 장치가 있는 HTTP 서버를 구축하고, XXE/SSRF 취약점을 통해 NTLM 인증 절차를 강제로 통과시켜야 한다”고 설명했다. 그런 후에는 “NTLM 릴레이(NTLM Relay) 공격을 활용해 로컬 인증에서 네트워크 인증으로 옮겨갈 수 있다”고 덧붙였다.

텐센트는 기드라의 XXE 오류를 익스플로잇해서 코드를 실행시키는 방법을 상세히 설명하며 개념증명도 발표했다. “사용자가 기드라를 사용해 악성 프로젝트를 열도록 유도할 수 있다면 공격자는 사용자의 NTLM 해시를 얻어낼 수 있습니다. 그리고 이를 통해 코드를 실행할 수 있게 되는 겁니다.”

이 문제를 완화시키려면 윈도우 방화벽을 설정해 SMB 요청이 들어오는 것을 차단해야 한다. 또한 SMB 사인(SMB Sign)을 활성화시키고, JDK를 최신 버전으로 업데이트 시키는 것도 중요하다고 한다.

한편 기드라 9.0.1 버전에서부터는 이 XXE 오류가 사라질 예정이다. 하지만 9.0.1 버전의 배포 예정일은 아직 정해지지 않았다.

3줄 요약
1. 얼마 전 NSA가 공개한 리버스 엔지니어링 툴 기드라에서 취약점 발견됨.
2. XXE 취약점으로, 공격자가 익스플로잇 해서 코드를 실행할 수 있게 해줌.
3. 기드라 9.0.1 나오면 XXE 문제는 해결될 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]

오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
	챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
	챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
	챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
	챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
	보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
	기타(댓글로)