여러 소프트웨어 프로젝트에서 사용되는 라이브러리인 아파치 커먼스 텍스트에서 대단히 위험한 취약점이 발견됐다. 파급력과 위험도가 높아 로그4셸 취약점 얘기가 솔솔 나오는 중이다. 하지만 아직까지 그 정도는 아닌 것으로 보인다.
[보안뉴스 문가용 기자] 아파치 커먼스 텍스트(Apache Commons Text)에서 발견된 초고위험도 취약점 때문에 보안 업계가 긴장하고 있다. 이 취약점을 공격자들이 성공적으로 익스플로잇 할 경우 아파치가 설치된 서버에 원격 접근하여 코드를 실행할 수 있게 된다고 한다. 이 취약점은 CVE-2022-42889이며, 10점 만점에 9.8점을 받았다. 아파치 커먼스 텍스트 1.5~1.9 버전에서 취약점이 발견되고 있으며, 아직까지 익스플로잇 활동이 발견되지는 않았다.
![[보안뉴스 / 10.18.] 아파치 라이브러리에서 나온 초고위험도 취약점, 로그4셸 될까 주시 중](http://www.boannews.com/media/upFiles2/2022/10/747955936_1207.jpg)
[이미지 = utoimage]
아파치소프트웨어재단의 빠른 업데이트
아파치소프트웨어재단(ASF)은 9월 24일 1.10.0 버전을 발표하면서 문제의 취약점을 해결했다. 하지만 보안 권고문이 발표된 건 지난 목요일의 일이었다. 이 권고문을 통해 아파치소프트웨어재단은 아파치 커먼스 텍스트 내 디폴트 룩업(Lookup) 인스턴스들이 문제의 근원이라고 설명했다. 원격 코드 실행을 가능하게 하는 취약점이기 때문에 미국의 NIST도 1.10.0 버전으로의 업그레이드를 권장하고 나섰다.
아파치 커먼스 텍스트는 일종의 라이브러리로, 표준 자바 개발 키트(JDK)에 포함되어 이는 텍스트 처리 기능을 강화한다. 현재 이 라이브러리를 활용하고 있는 프로젝트는 2588개라고 하는데, 아파치 하둡 커먼(Apache Hadoop Common), 스파크 프로젝트 코어(Spark Project Core), 아파치 벨로시티(Apache Velocity), 아파치 커먼스 컨피겨레이션(Apache Commons Configuration)과 같은 대형 프로젝트들이 다수 포함되어 있다고 한다.
깃허브시큐리티랩(GitHub Security Lab)은 오늘 권고문을 발표하며 CVE-2022-2022-42889를 최초로 발견한 건 깃허브의 모의 해커였다고 하며, 이미 지난 3월에 아파치소프트웨어재단에게 상세 내용을 제보했다고 밝혔다. 보안 전문가 케빈 뷰몬트(Kevin Beaumont)는 자신의 트위터를 통해 “아파치 요소의 취약점은 로그4셸(Log4Shell)과 비슷하기도 하지만, 그만큼 파급력이 있을 것 같지 않다”고 말했다.
“아파치 커먼스 텍스트에는 여러 가지 기능들이 있는데, 그 안에는 코드 실행과 관련된 것이 있습니다. 사용자들이 입력한 문자열을 통해 특정 기능이 실행되도록 한 것이죠. 이 기능을 실제로 활용하면서 사용자 입력 값을 받는 웹 애플리케이션들이 있다면 공격자들은 이를 활용해 취약점을 익스플로잇 해 코드 실행 공격을 실시할 수 있게 됩니다. 그런데 그런 앱을 찾는 게 그리 쉽지만은 않을 것으로 보입니다.” 뷰몬트의 설명이다.
개념증명용 익스플로잇이 나왔다
하지만 안심하기에는 이르다. 보안 업체 그레이노이즈(GreyNoise)에 의하면 CVE-2022-42889에 대한 개념증명용 익스플로잇이 이미 공개되었기 때문이다. “CVE-2022-42889는 2022년 7월에 발표된 취약점인 CVE-2022-33980과 대단히 흡사합니다. 이 취약점은 아파치 커먼스 컨피겨레이션(Apache Commons Configuration)에서 나타난 것입니다. 두 취약점이 CVSS 점수도 같습니다.” 이 때문에 CVE-2022-42889의 개념증명용 익스플로잇은 꽤나 빠르게 나온 상태다.
다만 현재까지 실제 익스플로잇 행위를 찾아내지는 못했다고 그레이노이즈는 설명한다. “계속해서 모니터링을 하고 있긴 합니다만, 현재까지는 실제 공격 행위를 발견할 수 없었습니다. 앞으로도 꾸준히 모니터링을 하여 실제 익스플로잇 행위가 발견될 시 빠르게 보안 업계에 알릴 전망입니다.”
또 다른 보안 업체 제이프로그(JFrog)의 경우 “CVE-2022-42889가 소프트웨어 보안 생태계에 미치는 영향력이 상당히 클 것으로 보이긴 하지만 로그4셸과 비슷한 수준일 것으로 여겨지지는 않는다”고 트위터를 통해 분석했다.
3줄 요약
1. 많은 소프트웨어에서 사용되는 아파치 요소에서 취약점이 발견됨.
2. 이 때문에 로그4셸 사태가 언급되고 있으나 그 정도로 위험해 보이지는 않음.
3. 아파치 커먼스 텍스트 1.10.0 이상 버전을 사용하면 안전.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 3.29.] 콘텐츠 전문기업 리디, 서버 캐시 설정 오류로 고객 개인정보 유출](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-30-135120-500x383.png)
![[보안뉴스 / 3.29.] 트위터 소스코드 유출 사건, 어쩌면 거대한 보안 재앙의 신호탄 될 수 있어](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-30-134630-500x383.png)
![[보안뉴스 / 3.27.] 아시아 최대 규모 통합보안 전시회 SECON & eGISEC 2023, 3월 29~31일 개최](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-28-171550-500x383.png)
![[보안뉴스 / 10.18.] 아파치 라이브러리에서 나온 초고위험도 취약점, 로그4셸 될까 주시 중](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
