Home > 전체기사
10년째 방치되던 어바이어 전화기 취약점, 최근에 패치 이뤄져
  |  입력 : 2019-08-12 11:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
10년짜리 스택 기반 버퍼 오버플로우 취약점, 기기 마비시키고 코드 실행케 해
8년째 방치되던 불완전 검사 취약점, 임의 코드 실행 가능하게 해줘


[보안뉴스 문가용 기자] 어바이어(Avaya) 전화기에서 발견된 취약점이 10년째 방치되고 있었다고 보안 업체 맥아피(McAfee)가 발표했다. 문제의 취약점은 CVE-2009-0692로, 일종의 스택 기반 버퍼 오버플로우 문제며, 동적 호스트 구성 프로토콜(DHCP) 내에 존재한다고 한다. 익스플로잇이 될 경우 ISC DHCP 클라이언트가 마비되고 임의 코드를 실행할 수 있게 된다.

[이미지 = iclickart]


DHCP 프로토콜은 IP 네트워크에 연결되어 있는 개별 장비들이 IP 주소, 서브넷 마스크, 방송 주소 등 독자적인 네트워크 환경설정 정보를 보유할 수 있도록 해주는 규약이다. 어바이어는 VoIP 솔루션 제공 산업에서 첫손에 꼽히는 규모를 가진 기업으로, 10년 전에 발견된 문제를 아직까지 해결하지 않고 있다가 이번에 적발됐다. 오픈소스 소프트웨어를 주의 없이 복사해 사용하다가 벌어진 일로 보인다.

취약점 자체는 2009년 당시 보고가 되었다. 그랬으니 CVE 번호까지 붙어있는 것이다. 그럼에도 어바이어 측에서 조치를 취하지 않았다는 건, 해당 보고를 무시해왔다는 것이며, 따라서 지난 10년 동안 취약한 장비를 생산해 사용자들을 사이버 공격에 노출시켜왔다는 듯이다. 맥아피에 따르면 H.323 소프트웨어를 사용하는 장비들이 위험하다고 한다.

그런데 문제는 여기서 끝나지 않는다. 8년 전인 2011년에 보고된 취약점도 나왔다. CVE-2011-0997로, DHCP 클라이언트 데몬인 dhclient가 DHCP 서버 응답 내에 포함되어 있는 특정 옵션을 제대로 거르지 않는다는 것이다. 그러므로 특수하게 조작된 요청을 DHCP 클라이언트로 보낼 수 있게 된다. “즉 임의 코드 실행으로 이어질 수 있다는 것입니다.”

이 취약점은 H.323 소프트웨어를 기반으로 하고 있는 9600 시리즈 IP 데스크폰(9600 Series IP Deskphone), J100 시리즈 IP 폰(J100 Series IP Phone), B100 시리즈 컨퍼런스 폰(B100 Series Conference Phone)에서 발견되고 있다. 어바이어는 지적을 받은 이후 패치를 개발해 공개했다.

이러한 문제를 발견하고 어바이어 측에 보고한 맥아피는 패치가 나온 것을 확인 후 이 취약점들을 익스플로잇 하는 방법을 영상(https://www.youtube.com/watch?v=zW8B913R4ig&feature=youtu.be)으로 공개하기도 했다.

“사물인터넷 장비나 임베디드 기계들의 가장 무서운 점 중 하나는 소리소문 없이 우리 생활과 업무 환경 속에 들어온다는 겁니다. 말 그대로 ‘스며’들죠. 그렇기 때문에 사물인터넷 장비인줄도 모르고 사용하고, 따라서 보안에 대해 특별히 신경 쓰지 않게 됩니다. 그런 분위기 속에서 장비 제조사가 취약점을 긴 시간 동안 방치하고 있다는 건 문제를 불필요하게 증폭시키는 겁니다.” 맥아피의 설명이다.

3줄 요약
1. 사물인터넷 전화기 제조사 어바이어, 8년째 방치되고 있던 취약점 패치.
2. 뿐만 아니라 10년째 방치되고 있던 오버플로우 취약점도 패치.
3. 사물인터넷 장비의 특징은 쥐도 새도 모르게 스며든다는 것. 제조사들까지 그러면 안 됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)