Home > 전체기사
원격 근무자 늘어난 때 더욱 위협이 될 만한 아파치 과카몰리 취약점
  |  입력 : 2020-07-03 10:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인기 높은 원격 근무자 관리 시스템...회사 내부 망과 사용자 단 모두에서 공격 가능
게이트웨이 완전 장악 가능...그런 후에는 해당 게이트웨이 통과하는 모든 정보 가로채


[보안뉴스 문가용 기자] 원격 근무 상황에서 널리 사용되는 시스템인 아파치 과카몰리(Apache Guacamole)에서 심각한 보안 취약점이 여러 개 발견됐다. 대부분 원격 데스크톱 프로토콜(RDP)와 관련된 것으로, 익스플로잇에 성공할 경우 정보 탈취나 원격 코드 실행 공격으로 이어질 가능성이 있다고 한다.

[이미지 = utoimage]


보안 업체 체크포인트(Check Point)가 분석한 바에 의하면 공격자가 이 취약점들을 통해 과카몰리에 침투하는 데 성공한다면, 모든 세션을 도청할 수 있게 되고 크리덴셜도 훔칠 수 있으며, 심지어 세션을 스스로 하나 만들어 조직 내 모든 컴퓨터들을 제어할 수도 있게 된다고 한다. 원격 근무가 정착된 회사라면 이 공격을 통해 사실상 회사 전체의 IT 인프라를 장악한 것과 같은 효과를 누릴 수 있게 된다는 것이다.

아파치 과카몰리는 전 세계적으로 1천 만 번이 넘는 다운로드를 기록 중에 있고, 점프서버 포트리스(Jumpserver Fortress), 퀄리(Quali), 포티게이트(Fortigate)와 같은 제품들에도 임베드 되어 있다. 아파치 과카몰리는 원격 근무자와 회사 서버 간의 중간다리 역할을 하기 때문에 널리 사용되는 것이라고 한다.

체크포인트가 자사 블로그를 통해 발표한 공격 시나리오는 두 가지다.
1) 기업 내부 네트워크에 연결된 장비를 침해하고, 이를 통해 아파치 과카몰리 게이트웨이를 장악한다.
2) 악성 원격 근무자가 망의 끝단에서부터 공격을 시작해 아파치 과카몰리 게이트웨이를 장악한다.
즉 내부에서 바깥으로, 그리고 바깥에서 내부로 공격 방향을 설정할 수 있다는 것이다.

어떤 방향으로 공격을 하든지 정보 노출 취약점과 메모리 변경 취약점, 권한 상승 취약점을 모두 익스플로잇 해야 한다고 한다. 양방향의 공격이 모두 가능하다는 건 꽤 위험한 것으로, 아파치 과타몰리를 사용하고 이는 기업이라면 반드시 최신 버전으로 업그레이드해야 한다고 체크포인트는 강조했다.

체크포인트가 공개한 취약점들은 다음과 같다.
1) CVE-2020-9497 : 정보 노출 취약점, 두 가지 버그로 구성되어 있음.
2) CVE-2020-9498 : 메모리 변형 취약점으로 원격 코드 실행을 가능하게 만듦.
이 두 가지 취약점만 활용해도 임의 파일 읽기와 임의 쓰기 상태가 될 수 있었다고 한다. 그렇다는 건 원격 코드 실행 익스플로잇을 통해 네트워크 내 RDP 서버와 guacd 프로세스를 장악할 수 있게 된다는 뜻이라고 체크포인트는 설명했다.

하지만 guacd 프로세스는 한 번에 하나의 연결만 관리하고 권한도 낮기 때문에 체크포인트는 추가적으로 권한 상승 공격을 통해 게이트웨이 전체를 장악할 수 있었다고 한다. 또한 guacd 실행파일에서 발견된 취약점을 통해서는 메모리 레이아웃 전체에 접근할 수 있었다. 즉 메모리에 있는 내용 전체에 접근할 수 있었던 것이다.

이런 모든 취약점들을 차례로 익스플로잇한 체크포인트의 연구원들은 결국 과카몰리 게이트웨이를 완전히 장악하는 데 성공했고, 거기서부터 해당 게이트웨이를 통과하는 모든 정보를 중간에서 가로챌 수 있었다. 또한 RDP를 무료로 구축할 수 있게 해주는 프리RDP(FreeRDP)의 취약점을 통해서도 과카몰리 인프라에 접근할 수 있다는 것도 알아냈다.

아파치 측은 6월 28일 1.2.02 버전을 공개하면 체크포인트가 자사 블로그(https://research.checkpoint.com/2020/apache-guacamole-rce/)를 통해 공개한 모든 취약점과 버그들을 해결했다. 체크포인트의 블로그 포스트에는 익스플로잇의 영상 시연도 공개되어 있다.

3줄 요약
1. 원격 근무자들 많아지는 때에 널리 사용되는 아파치 과카몰리에서 취약점들 나옴.
2. 정보를 노출시키고 메모리를 변형시키는 것으로, 이를 통해 과카몰리 게이트웨이의 완전 장악 가능.
3. 과카몰리를 장악할 경우 해당 게이트웨이를 통과하는 모든 정보를 가로챌 수 있게 됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)