Home > 전체기사

리눅스의 유명 유틸리티에서 10년 된 취약점 패치돼

  |  입력 : 2021-01-28 15:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
리눅스 생태계에서 10년 동안 한 번도 발표되지 않았던 취약점이 이번 주 발견됐다. 로컬 사용자의 권한을 관리자급으로 높여주는 것으로 미국의 CISA까지 패치를 권고하고 나섰다. 아쉽게도 패치 외에는 이 문제를 해결할 방법이 없다고 한다.

[보안뉴스 문가용 기자] 유닉스와 리눅스 기반 OS에서 널리 사용되는 유틸리티인 수도(sudo)의 개발자가 이번 주 치명적인 버퍼 오버플로우 취약점에 대한 패치를 완료했다. 취약점의 성공적인 익스플로잇은 로컬 사용자들에게 루트 권한을 부여하는 것으로 알려져 있었다.

[이미지 = utoimage]


이 취약점을 발견한 보안 업체 퀄리스(Qualys)에 따르면 수도 1.8.2~1.8.31p2 버전과 1.9.0~1.9.5p1 버전까지가 취약한 상태라 패치가 필요하다고 한다. 이 취약점은 2011년 7월부터 있었던 것으로, 무려 10년 동안이나 발견되지 않고 있었다. 퀄리스는 다음과 같은 리눅스 배포판들에서 권한 상승 공격을 성공시켰다.

1) 데비안 10 / 수도 1.8.27
2) 우분투 20.04 / 수도 1.8.31
3) 페도라 33 / 수도 1.9.2
이 외에도 여러 OS 및 배포판들에 비슷한 취약점들이 있을 것으로 퀄리스는 보고 있다.

현재까지 취약점 완화 방법은 없는 것으로 알려져 있다. 패치를 적용하는 것이 유일한 해결책이라는 것이다. 퀄리스는 유닉스와 리눅스 배포판을 사용하는 모든 사용자들 중 수도를 활용하고 있는 모든 조직들에게 패치 적용을 권고했다. 권장되는 수도 버전은 1.9.5p2이다. 이번 주 수도 개발진이 발표한 최신 버전이다. 퀄리스의 부회장인 메훌 레반카(Mehul Revankar)도 “패치만이 유일한 해결책”이라고 강조했다.

이 취약점이 얼마나 치명적이냐면 미국의 사이버사령부가 수요일 수도 취약점을 최대한 빨리 패치하라고 보안 권고문을 발표했을 정도다. 자신의 시스템이 취약한지 알아보려면 루트 권한을 가지지 않은 사용자로 로그인한 후 명령 프롬프트에서 “sudoedit -s /”을 입력하면 된다. “만약 시스템이 취약하다면 ‘sudoedit:’이라고 시작하는 오류 메시지가 뜹니다. 패치가 됐다면 ‘usage:’라고 시작하는 오류 메시지가 뜹니다.”

현재 수도를 유지 보수하는 건 소프트웨어 엔지니어인 토드 밀러(Todd Miller)다. 밀러는 화요일 셸 모드에서 수도를 통해 -s와 -I 옵션이 덧붙은 명령을 수행할 때 버퍼 오버플로우가 발생한다고 설명했다. 그 자체로는 크게 무섭지 않은 버그이다. 그러나 수도의 명령행 점검 코드에 또 다른 취약점 때문에 이 취약점은 위험한 것이 될 수 있다고 밝혔다.

레반카는 “두 가지 취약점을 연쇄적으로 익스플로잇 해야만 공격을 할 수 있는 취약점이기 때문에 10년 동안이나 발견되지 않았던 것으로 보인다”고 말한다. “아마 누군가는 이 두 가지 취약점을 개별적으로 발견했을 수 있습니다. 다만 두 가지를 같이 엮어낼 생각을 하지 못했거나, 한 가지만 발견했기 때문에 크게 문제를 삼지 않았을 겁니다.”

또한 취약점을 익스플로잇 하려면 시스템에 대한 물리적 접근이 필요하다. 이건 취약점을 실제 공격에 활용하려고 마음을 먹은 자들에게 있어 대단한 제약 조건이 된다. 원격에서도 공격할 방법이 많은 상황에서, 굳이 물리적 접근을 통해 위험 부담을 높일 필요가 없기 때문이다.

하지만 10년 만에 패치된 수도의 취약점은 위험을 감수할 만하다. 권한이 하나도 없는 사람이 루트 권한을 가져갈 수 있기 때문이다. 사실상 관리자가 될 수 있다는 뜻이다. “공격자 입장에서는 사전에 어느 정도 권한이 있는 사용자로서 등록을 해 둘 필요도 없습니다. 정말 아무 계정으로 들어가 곧바로 관리자가 될 수 있습니다. 이 취약점이 대단히 위험한 이유입니다.”

보안 업체 캡슐8(Capsule8)의 부회장인 켈리 쇼트리지(Kelly Shortridge)는 “로컬 접근을 필요로 하는 취약점은 보통 대수롭지 않은 게 보통”이라고 설명한다. “실제 공격 가능성이 낮다는 뜻이 되니까요. 하지만 이번 취약점의 경우는 조금 다릅니다. 무엇보다 수도라는 유틸리티가 거의 모든 리눅스 배포판에 존재하기 때문입니다. 로컬 접근이라는 게 그리 어렵지 않은 조건이 되어버린다는 뜻이죠.”

물리적 접근에 성공한 공격자가, 취약점을 익스플로잇 하기 위해 필요한 건 셸 모드와 취약한 버전의 수도뿐이라고 한다. “사실상 거의 모든 리눅스 배포판에 갖춰진 것들이죠. 전제 조건이라고 말하기도 어색할 정도로 ‘당연한 것들’입니다.” 그러면서 쇼트리지는 “컨테이너화를 잘 한 기업들은 어느 정도 피해를 막을 수 있다”고 귀띔했다. “공격자가 익스플로잇을 한다고 해도 각 컨테이너의 루트에만 다가갈 수 있을 뿐, 호스트 자체에는 영향을 주기 힘들기 때문입니다.”

4줄 요약
1. 리눅스 배포판들에서 널리 사용되는 유틸리티에서 10년된 취약점 나옴.
2. 로컬에 접근할 경우, 이 취약점 통해 권한을 루트로까지 높일 수 있음.
3. 유틸리티가 워낙 널리 사용되고 있어 로컬 접근이라는 게 별로 어렵지 않은 상황.
4. 그래서 미국 CISA까지 나서서 패치 시급히 하라고 권고.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)