Home > 전체기사
슬랙, 심각한 원격 코드 실행 취약점을 싸구려 취급
  |  입력 : 2020-09-01 12:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
협업 플랫폼 슬랙, PC 버전에서 각종 비밀 누설시키는 취약점 패치해
발견자에게 인색한 상금...감사 표현하는 것도 잊어...아쉽다는 평 대다수


[보안뉴스 문가용 기자] 협업 플랫폼인 슬랙(Slack)의 PC 버전에서 심각한 코드 실행 오류가 발견됐다. 이 취약점을 익스플로잇 할 경우 공격자들은 애플리케이션을 완전히 장악하는 게 가능하다고 한다. 슬랙은 이 문제를 급히 접수하고 패치를 발표했다.

[이미지 = utoimage]


이 취약점을 제일 먼저 발견한 건 에볼루션 게이밍(Evolution Gaming)의 보안 엔지니어인 오스카스 베게리스(Oskars Vegeris)로, 2020년 1월 해커원(HackerOne)이라는 버그바운티 플랫폼을 통해 슬랙에만 이를 제보했다. 취약점은 CVSS를 기준으로 9~10점을 받은 것으로 나타났다.

취약점 익스플로잇에 성공할 경우 공격자는 비밀 키, 비밀번호, 각종 민감 파일과 데이터, 슬랙 플랫폼 내 대화 내용에 접근할 수 있게 된다. 또한 슬랙이 설치된 컴퓨터에 따라 내부 네트워크에 침투해 환경 전체를 돌아다닐 수도 있게 된다. 베게리스는 취약점 보고서를 통해 “인앱 우회(in-app redirect), 로직 우회(logic redirect), HTML 및 자바스크립트 주입 기술을 사용해 임의 코드를 실행하는 게 가능하다”고 설명했다.

베게리스의 익스플로잇은 맥용, 윈도우용, 리눅스용 최신 버전인 4.2와 4.3.2 버전 모두에서 제대로 작동한다는 것이 확인됐다. 슬랙은 최초 취약점 버전을 지난 2월에 배포했고, 해커원은 8월 31일에 취약점 세부 내용을 공개했다. 슬랙의 포스트들이 만들어지는 방식에 취약점이 있는 것으로 나타났고, 원격 코드 실행 페이로드가 포함된 파일을 서버에 먼저 업로드하고, 새로운 슬랙 포스트를 만들어 특수 제이슨(JSON) 구조가 https://files.slack.com에 생성되도록 하면 취약점 익스플로잇이 가능하다고 한다.

베게리스는 “슬랙의 콘텐츠 보안 정책에 의해 자바스크립트의 실행은 금지되어 있고, 특정 HTML 태그들도 사용할 수 없지만 에어리어(area)를 주입하거나 태그를 매핑하는 등으로 대체할 수 있다”고 보고서를 통해 설명했다. 다만 피해자로서는 슬랙 플랫폼을 통해 공격자들이 교묘하게 꾸며 놓은 악성 포스트를 한 번 클릭해야 한다. 클릭 후 피해자는 공격자가 마련한 웹사이트로 접속되며, 이 사이트는 원격 코드 실행 기능을 가진 자바스크립트를 발동시킨다.

게다가 이 악성 코드 실행 자바스크립트를 만들 때 ‘워머블(wormable)’ 특성을 부여하는 것도 가능하다. 즉 피해자가 악성 포스트를 클릭한 후라면 자가 증식을 통해 악성 포스트가 자동으로 모든 사용자에게 나타날 수 있게 된다는 것이다. 따라서 슬랙 측은 모든 데스크톱 버전 사용자들에게 “4.4 버전으로 업그레이드 하라”고 권고하고 있다.

한 편 슬랙 측은 이 취약점을 해결하고 연구자에게 보상하는 과정에서 아쉬운 모습을 보였다. 베게리스가 이 제보로 받은상금은 1750달러에 불과하다. 심지어 슬랙은 취약점과 패치에 관한 게시글을 올리면서 베게리스를 언급하지도 않았다. 패치 발표를 할 때는 취약점 제보자에 대한 감사의 글을 함께 올리는 게 일반적이다. 슬랙은 이 부분에 대해서 사과했다.

보안 업계는 금액도 적절치 않다고 보고 있다. 베게리스가 들인 시간과 노력, 책임감 있게 공개한 과정, 취약점의 심각성을 고려할 때 훨씬 더 많은 상금을 받아야 한다는 것이다. 보안 전문가 다니엘 커스버트(Daniel Cuthbert)는 트위터를 통해 “슬랙은 정당한 상금을 지불하라!”고 촉구하기도 했다. “다크웹에 제보해 거래했다면 훨씬 더 높은 가격에 팔렸을 취약점입니다. 베게리스가 아니라 다른 비윤리적인 보안 전문가가 이 문제를 먼저 발견했다면 슬랙은 훨씬 더 심각한 상황에 놓였을 겁니다.”

3줄 요약
1. 슬랙의 데스크톱 버전에서 원격 코드 실행 취약점 발견됨.
2. 익스플로잇 성공할 경우 다양한 비밀 정보들에 접근하는 게 가능하게 됨.
3. 슬랙, 패치 발표하면서 제보자에 대한 감사도 하지 않고, 상금도 빈약해 아쉽다는 평 듣고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상