VM웨어의 로그 인사이트 플랫폼에서 초고위험도 취약점들이 발견됐다. 여기에 고위험도 취약점도 하나 더 있다. 패치가 이미 나왔기 때문에 사용자들이 빠르게 적용하는 게 중요하다.
[보안뉴스 문가용 기자] VM웨어(VMware)의 브이리얼라이즈 로그 인사이트(vRealize Log Insight) 플랫폼에서 세 개의 취약점이 발견됐다. 게다가 익스플로잇 코드까지 공개돼 다크웹에서 돌아다니기 시작했다고 한다. 세 개 취약점 중 두 개는 초고위험도 등급을 가진 원격 코드 실행 취약점으로 분석됐다.
![[보안뉴스 / 2.1.] 많은 기업이 사용하는 VM웨어 로그 관리 플랫폼에서 취약점 3개 나와](http://www.boannews.com/media/upFiles2/2023/02/236360034_9658.jpg)
[이미지 = utoimage]
브이리얼라이즈 로그 인사이트는 첩보와 로그들을 보다 편하게 관리할 수 있게 해 주는 플랫폼이다. 높은 가시성을 제공해 주고, 서드파티 확장 프로그램과도 호환성이 높기 때문에 IT 담당자들과 데이터 분석가들의 업무 부담을 덜어주는 것으로 알려져 있으며, 높은 권한을 가져야만 접속할 수 있는 영역과 데이터에도 접근이 가능하다. 한 마디로 널리 사용되고, 민감한 데이터로 가는 통로가 된다는 뜻이다.
보안 업체 호라이즌에이아이(Horizon.ai)의 연구원 제임스 호스먼(James Horseman)은 “공격자가 로그 인사이트 플랫폼에 접근하게 되면 다양한 공격을 실시할 수 있게 된다”고 말한다. “민감한 정보를 열람하거나 수집하는 것은 물론 세션 토큰, API 키, 개인 식별 정보들에도 다가갈 수 있게 됩니다. 이 정보들을 수집했다면 공격자들은 또 다른 시스템으로 진입할 수 있게 되고, 피해를 확산시킬 수 있습니다.”
문제의 취약점들
트렌드 마이크로(Trend Micro)의 제로데이 이니셔티브(ZDI)를 관리하는 더스틴 차일즈(Dustin Childs)는 “브이리얼라이즈 플랫폼 사용자들이라면 해당 취약점과 익스플로잇에 좀 더 관심을 가져야 한다”는 의견이다. “익스플로잇 난이도가 낮기 때문입니다. 공격자들은 가져갈 게 많은 표적보다 공략하기 쉬운 표적을 선호합니다. 따라서 최대한 빠르게 패치를 적용할 것을 추천합니다.”
두 개의 초고위험도 취약점의 경우 모두 CVSS 기준 9.8점을 기록했다. 익스플로잇에 성공한 공격자는 해당 장비의 OS에 임의의 파일을 주입할 수 있게 되며, 이를 통해 원격 코드 실행 공격을 성공시킬 수 있게 된다고 한다. 이 둘은 다음과 같다.
1) CVE-2022-31706 : 디렉토리 변경 취약점
2) CVE-2022-31704 : 접근 제어 관련 취약점
세 번째 취약점은 CVE-2022-31710으로 위 두 개의 취약점보다는 다소 낮은 7.5점을 기록했으나, 그래도 고위험군으로 분류될 정도로 위험하다. 원격의 공격자들이 특정 데이터의 비직렬화를 발동시킬 수 있게 함으로써 디도스 공격을 감행할 수 있도록 해 준다.
완전한 장비 장악을 위한 연속 익스플로잇
호라이즌에이아이의 연구원들은 해커들끼리 익스플로잇 코드를 거래한다는 사실을 알고 나서 이 문제를 본격적으로 파헤치기 시작했다. 그 결과 “세 가지 취약점들을 연쇄적으로 익스플로잇 해서 더 심각한 공격을 실시할 수 있게 된다”는 사실을 알아냈다고 한다. 이를 VM웨어에 알렸고, VM웨어 측도 이를 인정하여 보안 권고문을 오늘 수정했다.
호스먼은 “연쇄 익스플로잇 난이도도 낮다”고 설명하며 “공격자들 사이에서 꽤나 주목을 받는 이유가 있다”고 설명한다. “다만 공격에 성공하려면 특정 설정 조건이 갖춰져야 합니다. 그 한 가지 제한 사항만 아니면 일사천리로 익스플로잇 할 수 있습니다. 그리고 공격자들은 루트 권한을 가지고 원격 코드 실행을 할 수 있고, 공격자들은 시스템을 완전히 장악할 수 있게 됩니다.”
그나마 다행인 건 “브이리얼라이즈 로그 인사이트라는 플랫폼이 내부 인원들끼리만 사용하는 플랫폼으로써 기획이 됐다는 것”이라고 호스먼은 말한다. 인터넷에 연결되지 않는 게 보통이라는 것이다. “쇼단으로 검색했을 때 인터넷에 연결되어 있는 인스턴스는 45개밖에 되지 않았습니다. 어쩌면 이 취약점 익스플로잇의 가장 어려운 점은 공격 대상을 찾는 것일 수도 있습니다. 하지만 찾기만 하면 공격 성공 가능성이 높아집니다.”
게다가 내부 인원들만 사용하는 플랫폼이라 하더라도 해킹 공격이 불가능한 건 아니다. “확실히 이 제품이 인터넷에 직접 노출되는 사례는 극히 드뭅니다. 그렇다면 공격이 불가능한 걸까요? 공격자들은 피해자 네트워크에 다른 방식으로 접근하는 방법을 모색할 수 있습니다. 그런 후에 내부자처럼 피해자 네트워크 내에서부터 로그 인사이트 플랫폼에 접근할 수 있죠. 실제 임직원의 계정을 탈취해도 공격을 할 수 있게 되고요. 공격의 가능성은 무궁무진합니다.”
조직을 보호하기 위해서 담당자들 혹은 관리자들은 제일 먼저 해당 취약점들의 패치를 받아 빠르게 적용해야 한다. 그것이 가장 확실한 길이 될 것이다. 그 다음은 VM웨어나 보안 전문가들이 추천하는 위험 완화책을 배우고 도입하는 것이 안전하다. 침해지표 정보를 받아 네트워크를 모니터링하는 것도 좋은 방법이라고 차일즈는 권장한다.
“어떤 식으로 조직의 시스템들이 노출되어 있는지도 다시 확인해야 합니다. 어떤 플랫폼이 인터넷에 연결되어 있는지, 연결되어 있는 게 맞는 건지, 어떤 포트들이 무분별하게 열려 있는 건 아닌지 등을 다시 한 번 확인하고, 주기적으로 점검하는 게 좋습니다. 이런 취약점들이 등장하고, 익스플로잇이 돌아다니기 시작할 때마다 기회라고 생각하고 한 번씩 네트워크를 이런 식으로 순찰해 준다면 위험을 어느 정도 막을 수 있습니다.”
3줄 요약
1. VM웨어의 인기 높은 로그 관리 플랫폼에서 취약점 세 개 발견됨.
2. 두 개는 초고위험도, 한 개는 고위험도. 연쇄적으로 익스플로잇 하는 것도 가능.
3. 플랫폼 자체가 인터넷에 연결되는 게 아니지만, 그럼에도 해킹 공격 가능.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>