Home > 전체기사

오픈 디자인 얼라이언스의 SDK에서 8개 취약점 발견돼 비상

  |  입력 : 2021-06-21 19:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
지멘스와 마이크로소프트 등에서 활용하고 있는 SDK인 드로잉즈에서 취약점이 8개 발견됐다. 이 때문에 꽤나 많은 애플리케이션들에서도 여러 가지 보안 취약점이 발견되는 상황이다. 이 SDK를 가져다 쓴 기업들의 적극적인 패치 작업이 필요하다.

[보안뉴스 문가용 기자] 오픈 디자인 얼라이언스(Open Design Alliance, ODA)가 개발해 배포하는 소프트웨어 개발 키트인 드로잉즈(Drawing)에서 8개의 취약점이 발견됐다. 이 때문에 지멘스와 마이크로소프트 등에서 만드는 제품들에도 영향이 있을 수 있다는 경고가 나왔다.

[이미지 = utoimage]


ODA는 엔지니어링 애플리케이션을 위한 소프트웨어 개발 키트를 만드는 비영리 단체로, 그 동안 CAD, GIS, PLM, IoT와 같은 것들을 공급해 왔다.
* CAD : Computer Aided Design
* GIS : Geographic Information Systems
* PLM : Product Lifecycle Management
* IoT : Internet of Things

ODA는 웹사이트를 통해 회원 기업이 약 1200군데 되며, 지멘스, 마이크로소프트, 벤틀리, 에픽 게임즈 등 유명한 기업들이 ODA의 소프트웨어 개발 키트를 사용하는 중이라고 홍보하고 있다. 따라서 ODA의 키트에서 오류가 발견된다는 건 엄청난 파급력을 가져올 수 있다는 뜻이 된다.

드로잉즈는 .dwg와 .dgn 파일들에 저장된 모든 데이터에 접근하는 게 가능하도록 만들어 주는 기능을 제공하는 소프트웨어 개발 키트로 보안 업체 트렌드 마이크로(Trend Micro)의 맷 파웰(Matt Powell)과 브라이언 고렝크(Brian Gorenc)가 여기서 8개의 취약점들을 발견했다. 피해자가 조작된 파일을 열도록 꾀기만 하면 익스플로잇이 가능한 것들이라고 한다.

원래 취약점이 발견된 곳은 지멘스의 JT2Go 3D JT라는 이미지 열람 도구였다. 분석을 이어가며 문제의 근원지가 드로잉즈였음을 알게 되었다고 한다. ODA에 따르면 드로잉즈는 현재 수만 곳이 넘는 기업들에서 다양한 형태로 활용되고 있다고 한다. 즉 드로잉즈의 취약점 때문에 수많은 애플리케이션들과 조직들이 위험해 처할 수 있다는 뜻이 된다.

이 때문에 드로잉즈를 사용하여 애플리케이션을 개발한 모든 기업들은 패치를 빠르게 내놓아야 할 상황에 놓이게 됐다. 하지만 대응을 아예 하지 않는 기업들이 언제나처럼 늘 있을 것으로 예상되기도 한다. 트렌드 마이크로 측은 지멘스와 마이크로소프트 등 굵직한 기업들은 패치를 내놓을 것으로 보고 있다.

8개 취약점은 중간급과 고위험군에 분포되어 있다. 아웃 오브 바운드, 불활실한 확인, UaF 취약점들로 분류되며, 익스플로잇에 성공할 경우 임의 코드 실행, 디도스, 민감한 정보 탈취 공격 등이 가능하다. 악성 .dwg 및 .dgn 파일을 피해자에게 보내 열게 하면 익스플로잇이 끝난다.

당연한 이야기지만 이 여덟 개 취약점들을 연쇄적으로 엮어서 익스플로잇 할 때 보다 강력한 공격이 가능하다고도 한다. 특히 권한 상승을 일으키는 취약점 및 코드 실행 취약점과 함께 익스플로잇 할 경우 장비에 대한 완전 통제도 가능한 것으로 알려져 있다.

ODA는 웹사이트를 통해 이 취약점들은 물론 관련 보안 권고문들을 공개하고 있다. 하지만 아직 고객사들에 따로 연락을 준 것으로 보이지는 않는다. 패치는 2022.5 버전을 통해 이미 배포되는 상황이다. 다만 이 패치를 각 드로잉즈 사용자 기업들이 가져가, 자신들의 애플리케이션에 맞는 패치로 바꿔줘야 한다. 즉 최종 사용자들이 이 패치를 직접 가져다 쓰기에는 무리가 있다.

3줄 요약
1. CAD, IoT 등 만든 ODA의 드로잉즈 SDK에서 취약점 8개 발견됨.
2. 이 때문에 수많은 애플리케이션들에 영향이 있을 것으로 예상됨.
3. 취약점을 교묘히 익스플로잇 하면 시스템 완전 장악도 가능.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)