공격자가 서버에서 코드 실행 가능한 취약점 제보...제조사는 패치 거부
“환경설정 오류를 야기할 수 있다면, 취약점일까 아닐까?”
[보안뉴스 문가용 기자] 보안 업체 트러스트웨이브(Trustwave)의 스파이더랩스(SpiderLabs) 소속 한 보안 전문가가 소프트웨어 업체 리프라이즈 소프트웨어(Reprise Software)에서 제공하는 RLM 웹 애플리케이션에서 취약점을 찾아 공개했다. 하지만 리프라이즈 측은 공개된 것이 취약점이 아니라고 반박했다.
[이미지 = iclickart]
RLM은 라이선스 관리 앱으로, 기업용으로 제작된 소프트웨어다. 그리고 여기서 취약점을 찾았다고 주장한 보안 전문가는 아드리안 프로티누(Adrian Pruteanu)다. 프리티누는 “RLM 앱을 통해 서버에 임의의 코드를 실행할 수 있었다”며 취약점에 대해 설명했다. 이는 결국 완벽한 도메인 침해로 이어진다는 것이었다. “이를 리프라이즈에 알렸지만, 리프라이즈는 이것이 취약점이 아니라며 패치 개발을 거부했습니다.”
리프라이즈의 CEO인 맷 크리스티아노(Matt Christiano)는 “제품의 제작자의 의도에 맞지 않게 남용했을 때의 결과지, 취약점을 발견했다고 볼 수 없다”고 반박했다.
프루티누의 주장에 따르면 RLM은 사용자에게 디스크에 있는 모든 파일에 대한 읽기 및 쓰기 권한을 준다고 한다. RLM의 디폴트 설정은 5054 포트를 통해 웹 서버에 접속하게 되어 있으며, 인증 단계가 없다고도 덧붙였다. “그렇기 때문에 공격자가 현재 사용자의 스타트업 폴더에 아무런 인증 없이 멀웨어를 쓸 수 있게 됩니다. 사용자의 권한이 어느 정도인지와는 상관없이 말입니다. 만약 사용자 권한이 높다면 모든 사용자의 스타트업 폴더에 멀웨어를 심을 수도 있습니다.”
하지만 크리스티아노는 “RLM은 기능 발휘를 위해 권한 상승을 요구하지 않는다”고 반박했다. 또한 “분리된, 권한이 없는 계정에서 돌아가도록 설계”됐다고 덧붙였다. “프로그램을 루트 및 관리자 권한으로 설치한다는 건 굉장히 안일한 일일 뿐입니다. 그러지 말라는 내용을 문서화하기도 했고요.”
또한 크리스티아노는 “RLM에 포트 5054번을 배정한 건 인터넷 할당 번호 관리 기관인 IANA였다”며 “그것도 2008년의 일이었다”고 주장했다. “또한 라이선스 서버 장비들이 인터넷을 통해 활짝 열린 상태로 운영되는 사례는 거의 없습니다. 그럴 경우라도 포트 5054번을 반드시 거쳐야 하는 것도 아니며, 회사의 방화벽에 의해 막히는 것이 정상입니다.”
프루티누는 자신이 취약점이라고 주장하는 내용에 대한 개념증명도 만들었다. 또한 RLM 웹 인터페이스의 /goform/edit_lf_get_data URL에서 XSS 취약점을 추가로 찾아내기도 했다. “RLM은 이 URL에 대해 POST를 강제하지 않으며, 페이로드는 GET 요청만으로도 통과되더군요.”
하지만 프루티누는 “진짜 걱정거리는 취약점이 아니라, 그에 대응하는 회사의 태도”라고 지적한다. “취약점은 공개와 패치를 통해 얼마든지 해결이 가능합니다. 하지만 회사는 ‘사용자들에게 관리자 모드에서 RLM 서버를 운영하라고 당부하고 있으니, 우려하신 공격 시나리오가 성립될 가능성은 없습니다’라고 답하더군요. 솔직히 제조사의 설치 및 사용 매뉴얼을 글자 그대로 잘 지켜주는 소비자가 몇이나 됩니까?”
리프라이즈 측은 프루티누에게 다음과 같은 답장을 보냈다. “제보하신 내용을 분석한 결과 취약점이 아니라고 판단했습니다. 서버를 루트 및 관리자 모드로 돌리는 행위는 절대 있어서도 안 되고, 아무도 그렇게 하지 않는, 너무나 당연한 것입니다. 이런 당연한 것을 무시했다면, 그 책임은 스스로 지는 겁니다. 심지어 사용자가 웹 인터페이스를 비활성화시킬 수도 있습니다. 로그인도 설정할 수 있고요. 이미 해당 앱에 대한 방어책은 충분하다고 판단됩니다.”
크리스티아노는 한 발도 뒤로 물러날 생각이 없다. “그 내용은 기술적 취약점이 아니라 사용자 단계의 설정 오류 혹은 남용에 해당하는 겁니다. 마찬가지로 제가 이번 스파이더랩스의 행위를 보고 ‘보안 업체로서 문제를 해결하는 게 아니라, 크게 키우고 헤드라인에 띄워서 사업을 확장시키고자 하는 데에만 관심 있는 기업’이라고 해석하는 것과 뭐가 다른 걸까요? 본래 그런 기업인 걸까요, 제가 해석을 잘못한 걸까요?”
프루티누는 “책임감 있는 취약점 공개는 보안 업계에 항상 있어왔던 화두”라며 “여전히 민감하고 어려운 문제이기 때문”이라고 설명했다. “취약점에 대한 내용을 올바르게 들어줄 수 있는 사람을 찾기 어렵다는 게 가장 큰 장애물입니다. 사실 저희는 소프트웨어 업체들에 대한 무료 감사를 해주는 것이나 다름이 없어요. 하지만 돌아오는 건 적대적인 반응뿐이죠. 이번처럼 패치를 하지 않겠다는 고집이고요.”
크리스티아노는 “스파이더랩스가 어떤 식으로 우리 제품을 분석했는지도 모르겠다”며 “일부러 엉뚱하게 설치해놓고 취약점이라고 발표를 하는 게 이해가지 않는다”고 답했다. “또한 리프라이즈가 패치하기 싫어하는 기업도 아닙니다. 스파이더랩스에도 패치를 하지 않는다고 말한 게 아니라, 이번 문제를 취약점으로 보기 어렵다는 뜻을 전달한 것 뿐입니다.”
‘환경설정’이 일어날 수 있도록 옵션을 만들어두는 것을 취약점으로 봐야할까? 결국 이번 싸움의 쟁점은 이것이라고 볼 수 있다. 프루티누는 “그렇다”고 믿고, 크리스티아노는 “그렇지 않다”는 입장이다.
[국제부 문가용 기자(globoan@boannews.com)]
“환경설정 오류를 야기할 수 있다면, 취약점일까 아닐까?”
[보안뉴스 문가용 기자] 보안 업체 트러스트웨이브(Trustwave)의 스파이더랩스(SpiderLabs) 소속 한 보안 전문가가 소프트웨어 업체 리프라이즈 소프트웨어(Reprise Software)에서 제공하는 RLM 웹 애플리케이션에서 취약점을 찾아 공개했다. 하지만 리프라이즈 측은 공개된 것이 취약점이 아니라고 반박했다.
[이미지 = iclickart]
RLM은 라이선스 관리 앱으로, 기업용으로 제작된 소프트웨어다. 그리고 여기서 취약점을 찾았다고 주장한 보안 전문가는 아드리안 프로티누(Adrian Pruteanu)다. 프리티누는 “RLM 앱을 통해 서버에 임의의 코드를 실행할 수 있었다”며 취약점에 대해 설명했다. 이는 결국 완벽한 도메인 침해로 이어진다는 것이었다. “이를 리프라이즈에 알렸지만, 리프라이즈는 이것이 취약점이 아니라며 패치 개발을 거부했습니다.”
리프라이즈의 CEO인 맷 크리스티아노(Matt Christiano)는 “제품의 제작자의 의도에 맞지 않게 남용했을 때의 결과지, 취약점을 발견했다고 볼 수 없다”고 반박했다.
프루티누의 주장에 따르면 RLM은 사용자에게 디스크에 있는 모든 파일에 대한 읽기 및 쓰기 권한을 준다고 한다. RLM의 디폴트 설정은 5054 포트를 통해 웹 서버에 접속하게 되어 있으며, 인증 단계가 없다고도 덧붙였다. “그렇기 때문에 공격자가 현재 사용자의 스타트업 폴더에 아무런 인증 없이 멀웨어를 쓸 수 있게 됩니다. 사용자의 권한이 어느 정도인지와는 상관없이 말입니다. 만약 사용자 권한이 높다면 모든 사용자의 스타트업 폴더에 멀웨어를 심을 수도 있습니다.”
하지만 크리스티아노는 “RLM은 기능 발휘를 위해 권한 상승을 요구하지 않는다”고 반박했다. 또한 “분리된, 권한이 없는 계정에서 돌아가도록 설계”됐다고 덧붙였다. “프로그램을 루트 및 관리자 권한으로 설치한다는 건 굉장히 안일한 일일 뿐입니다. 그러지 말라는 내용을 문서화하기도 했고요.”
또한 크리스티아노는 “RLM에 포트 5054번을 배정한 건 인터넷 할당 번호 관리 기관인 IANA였다”며 “그것도 2008년의 일이었다”고 주장했다. “또한 라이선스 서버 장비들이 인터넷을 통해 활짝 열린 상태로 운영되는 사례는 거의 없습니다. 그럴 경우라도 포트 5054번을 반드시 거쳐야 하는 것도 아니며, 회사의 방화벽에 의해 막히는 것이 정상입니다.”
프루티누는 자신이 취약점이라고 주장하는 내용에 대한 개념증명도 만들었다. 또한 RLM 웹 인터페이스의 /goform/edit_lf_get_data URL에서 XSS 취약점을 추가로 찾아내기도 했다. “RLM은 이 URL에 대해 POST를 강제하지 않으며, 페이로드는 GET 요청만으로도 통과되더군요.”
하지만 프루티누는 “진짜 걱정거리는 취약점이 아니라, 그에 대응하는 회사의 태도”라고 지적한다. “취약점은 공개와 패치를 통해 얼마든지 해결이 가능합니다. 하지만 회사는 ‘사용자들에게 관리자 모드에서 RLM 서버를 운영하라고 당부하고 있으니, 우려하신 공격 시나리오가 성립될 가능성은 없습니다’라고 답하더군요. 솔직히 제조사의 설치 및 사용 매뉴얼을 글자 그대로 잘 지켜주는 소비자가 몇이나 됩니까?”
리프라이즈 측은 프루티누에게 다음과 같은 답장을 보냈다. “제보하신 내용을 분석한 결과 취약점이 아니라고 판단했습니다. 서버를 루트 및 관리자 모드로 돌리는 행위는 절대 있어서도 안 되고, 아무도 그렇게 하지 않는, 너무나 당연한 것입니다. 이런 당연한 것을 무시했다면, 그 책임은 스스로 지는 겁니다. 심지어 사용자가 웹 인터페이스를 비활성화시킬 수도 있습니다. 로그인도 설정할 수 있고요. 이미 해당 앱에 대한 방어책은 충분하다고 판단됩니다.”
크리스티아노는 한 발도 뒤로 물러날 생각이 없다. “그 내용은 기술적 취약점이 아니라 사용자 단계의 설정 오류 혹은 남용에 해당하는 겁니다. 마찬가지로 제가 이번 스파이더랩스의 행위를 보고 ‘보안 업체로서 문제를 해결하는 게 아니라, 크게 키우고 헤드라인에 띄워서 사업을 확장시키고자 하는 데에만 관심 있는 기업’이라고 해석하는 것과 뭐가 다른 걸까요? 본래 그런 기업인 걸까요, 제가 해석을 잘못한 걸까요?”
프루티누는 “책임감 있는 취약점 공개는 보안 업계에 항상 있어왔던 화두”라며 “여전히 민감하고 어려운 문제이기 때문”이라고 설명했다. “취약점에 대한 내용을 올바르게 들어줄 수 있는 사람을 찾기 어렵다는 게 가장 큰 장애물입니다. 사실 저희는 소프트웨어 업체들에 대한 무료 감사를 해주는 것이나 다름이 없어요. 하지만 돌아오는 건 적대적인 반응뿐이죠. 이번처럼 패치를 하지 않겠다는 고집이고요.”
크리스티아노는 “스파이더랩스가 어떤 식으로 우리 제품을 분석했는지도 모르겠다”며 “일부러 엉뚱하게 설치해놓고 취약점이라고 발표를 하는 게 이해가지 않는다”고 답했다. “또한 리프라이즈가 패치하기 싫어하는 기업도 아닙니다. 스파이더랩스에도 패치를 하지 않는다고 말한 게 아니라, 이번 문제를 취약점으로 보기 어렵다는 뜻을 전달한 것 뿐입니다.”
‘환경설정’이 일어날 수 있도록 옵션을 만들어두는 것을 취약점으로 봐야할까? 결국 이번 싸움의 쟁점은 이것이라고 볼 수 있다. 프루티누는 “그렇다”고 믿고, 크리스티아노는 “그렇지 않다”는 입장이다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
