Home > 전체기사
클라우드 소프트웨어 개발사 조호의 매니지엔진에서 제로데이 발견돼
  |  입력 : 2020-03-09 12:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
스티븐 실리라는 보안 전문가가 발견하고 트위터 통해 공개...보고 과정 생략
과거에 발견된 취약점을 조호가 무시한 적 있다고 해당 전문가는 주장...의견들 갈려


[보안뉴스 문가용 기자] 조호 코프(Zoho Corp.)라는 개발사에서 만든 IT 헬프데스크 앱인 매니지엔진(ManageEngine)에서 제로데이 취약점이 발견됐다. 원격의 공격자가 인증 과정을 무시하고 해킹 공격을 실시할 수 있게 해주는 것으로, 현재는 보안 업데이트가 약속되어 있는 상태다.

[이미지 = iclickart]


이 취약점을 제일 먼저 발견해 알린 건 보안 업체 소스 인사이트(Source Incite)의 스티븐 실리(Steven Seeley)로, “조호 매니지엔진 데스크톱 센트럴(Zoho ManageEngine Desktop Central)이라는 엔드포인트 관리 도구에서 취약점이 발견됐다”고 트위터를 통해 알렸다. 동시에 개념증명용 익스플로잇도 함께 발표했다.

실리에 의하면 “이 취약점을 익스플로잇 할 경우 원격의 공격자가 임의의 코드를 실행할 수 있게 된다”고 한다. 취약점의 정확한 위치는 소프트웨어 내 파일스토리지(FileStorage)라는 클래스라는 설명도 덧붙였다. 개념증명을 트위터로 공개하며 실리는 “CVSS 기준 9.8점에 해당하는 취약점”이라고 주장하기도 했다. 마이크로소프트의 보안 전문가인 네이트 워필드(Nate Warfield)는 리트윗을 통해 “최소 2300개가 넘는 조호 시스템이 취약한 상태”라고 지적했다.

이에 조호 측은 공식 트위터를 통해 “문제가 있음을 인지했고, 패치 개발에 총력을 기울이고 있다”고 발표했다. 조호는 이 취약점을 제일 먼저 발견한 실리에 대한 언급은 피했다. 실리는 외신인 쓰레트포스트와의 인터뷰를 통해 “이전에도 조호에 취약점을 보고했는데, 반응이 영 부정적이었다”며 “그 기억 때문에 이번 취약점도 알리지 않고 공개했다”고 말했다.

이 보도가 나가자 보안 업계의 반응 역시 다양하게 갈라지기 시작했다. 판다 시큐리티(Panda Security)의 기술 부문 책임자인 루이 로페즈(Rui Lopes)는 트위터를 통해 “좋지 않은 결정이었다”는 의견을 펼쳤다. “억울한 피해자가 생길 수 있는 가능성을 만들었기 때문”이다. “트러블은 개발사와 보안 전문가 사이에 있었는데, 엉뚱한 사용자가 피해를 입게 되었습니다. 책임감 있는 취약점 공개가 좀 더 보편화되어야 합니다.”

보안 업체 벡트라(Vectra)의 CTO는 소셜 미디어를 통해 “이래서 보안 전문가와 소프트웨어 개발사가 평소부터 좋은 관계를 유지하는 게 중요하다”고 지적했다. “평소 보안 전문가를 무시해오면, 이런 식으로 결과가 되돌아옵니다. 사실 자사 제품이나 서비스에서 취약점을 찾는 것에 대해 불쾌해 여기는 기업들이 많은데, 이건 좀 바뀌어야 할 부분입니다.”

조호의 제품에서 취약점이 발견된 건 이번이 처음이 아니다. 2018년에도 여러 보안 전문가들이 매니지엔진에서 7개의 취약점을 찾아냈었다. 호스트 서버에 대한 공격자의 장비 통제를 허용하는 취약점인 것으로 판명됐다.

그 전에는 조호의 온라인 오피스 소프트웨어를 활용한 대형 피싱 캠페인이 벌어지기도 했었다. 2018년 10월에 발생한 이 피싱 캠페인의 경우, 공격의 40%가 zoho.com이나 zoho.eu라는 도메인 기반 이메일 주소를 활용하고 있었다. 하지만 조호가 보안 전문가나 업계에 대해 부정적인 태도를 취했다는 게 공공연하게 드러난 것은 이번이 처음이다.

3줄 요약
1. 클라우드 기반 생산성 도구 개발사인 조호의 제품에서 취약점 발견됨.
2. 원격 코드 실행 통해 장비 완전 장악을 가능케 해주는 취약점.
3. 발견자는 보안 전문가인데, 조호가 과거 자신의 보고를 무시했다며 이번엔 패치 나오기도 전에 공개.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)