코로나 덕분에 유명해진 화상 회의 앱 줌에서 색다른 공격 기법이 발견됐다. 네 가지 취약점을 연쇄적으로 익스플로잇 함으로써 공격자가 피해자의 시스템에서 아무 코드나 실행시킬 수 있게 되는 것이다. 인기 많은 플랫폼인 만큼 줌에서 나오는 취약점 소식은 하나하나 무게감이 남다르다.
[보안뉴스 문가용 기자] 유명 화상 회의 및 원격 협업 플랫폼인 줌(Zoom)에서 새로운 공격 가능성이 발견됐다. 기존에 발견됐던 취약점 4개를 엮어서 익스플로잇 하면 제로클릭 원격 코드 실행 공격이 가능하다는 내용이다. 구글의 프로젝트 제로(Project Zero) 팀이 발견한 것으로, 취약점 하나하나가 대단히 위험한 건 아니지만 연쇄적으로 엮였을 때 위협적인 것으로 변한다는 것이 강조됐다.
[이미지 = utoimage]
보안 업체 벌칸사이버(Vulcan Cyber)의 수석 기술 엔지니어인 마이크 파킨(Mike Parkin)은 “줌의 인기를 생각했을 때 아무리 사소한 취약점이라도 큰 영향력이 있을 수밖에 없다”고 설명한다. “구글이 이번에 발표한 내용을 봤을 때 공격을 성공시키려면 한 가지 전제 조건이 성립되어야 하는 것이 분명해 보입니다. 하지만 그 조건이라는 것이 공격자와 피해자가 줌으로 연결되어 있어야 한다는 것이기 때문에 그리 커다란 장애라고 말하기 어렵습니다. 줌으로 하루에도 몇 번씩 회의를 하는 게 요즘에는 일상이니까요.”
공격이 성립하는 가장 기본적인 이유
줌의 채팅 기능은 XML에 기반을 둔 메시지 프로토콜로 구성되어 있다. 이 프로토콜의 이름은 XMPP인데, 구글의 이반 프라트릭(Ivan Fratric)에 의하면 “XML의 짧은 스니펫들을 활용함으로써 메시지들이 교환되는 것”이라고 한다. 그리고 이 짧은 XML 스니펫들을 스탄자(stanza)라고 부른다는 설명을 덧붙인다. “줌 채팅 메시지를 사용자들이 교환할 때, 이 스탄자들이 클라이언트와 서버 사이를 부지런히 왔다갔다 합니다. 이 트래픽은 단일 스트림을 만들어 내는데요, 문제는 이 때 메시지 코드가 제대로 구성되어 있는 것인지가 제대로 확인되지 않는다는 겁니다.”
프라트릭의 설명이 이어진다. “클라이언트는 글룩스(gloox)라는 라이브러리를 사용해 XML을 확인합니다. 서버는 fast_xml이라는 라이브러리를 활용하고요. 그리고 이 fast_xml은 XML 검사기인 엑스팻(Expat)을 기반으로 하고 있습니다. 문제는 이 엑스팻과 글룩스가 사로 다른 방식으로 XML을 점검한다는 것이고, 그렇기 때문에 그 차이에서 취약점이 만들어집니다.”
프라트릭에 의하면 “엑스팻은 태그와 속성 이름을 확인하는 부분에 있어서 약간 느슨한 감이 있다”고 한다. “물음표가 들어간 태그 이름을 그대로 클라이언트에 전달하기도 합니다. 원래는 그러면 안 되는 것인데 말이죠. 그래서 클라이언트의 글룩스 검사기가 물음표를 보면 어떤 일이 일어날까요? 검사기 상태가 리셋됩니다. 그래서 그 후에 들어오는 모든 것들이 ‘정상적인 루트 노드’로 인식됩니다. 이 과정에서 통과되면 안 되는 것들이 통과가 됩니다.”
이 부분까지 익스플로잇을 한 공격자는 메시지 태그에 대한 제어권한을 갖게 된다. 무슨 뜻이냐면, from 속성(해당 메시지의 출처를 나타내는 필드)을 마음대로 조작할 수 있다는 것이다. 공격자가 아닌 다른 사람이 보낸 메시지인 것처럼 위조할 수 있게 되니 피해자를 다른 악성 웹사이트로 우회 접속시키거나 멀웨어를 다운로드 받게 유도하는 게 쉬워진다는 게 프라트릭의 설명이다. 공격자가 from 속성에 드롭박스나 구글 드라이브, 셰어포인트와 같은 유명 클라우드 서비스를 연결시킨다면 피해자는 더욱 의심을 하기 힘들게 된다.
중간자 공격
이러한 스탄자의 취약점을 이용하여 {strem:error}라는 태그를 조작하면 중간자 공격도 가능하게 된다고 프라트릭은 설명한다. “스탄자를 특수하게 조작하면 줌 클라이언트 내에서 클러스터스위치(ClusterSwitch)라는 임무를 생성할 수 있게 됩니다. 그리고 이 임무의 변수를 공격자가 제어하고 있는 웹 도메인으로 설정할 수 있게 되고요. 해당 임무와 관련된 정보들이 일단 공격자의 서버를 거치게 됨으로써 중간자 공격이 성립되는 것이죠.”
이 공격은 매우 간단하게 성공시킬 수 있다고 프라트릭은 설명한다. “피해자에게 간단하게 메시지만 타이핑해서 전송하면 됩니다. 이 때 iddqd라는 문자열이 태그에 포함되기만 하면 끝입니다. 그러면 피해자의 클라이언트가 공격자가 제공한 도메인의 /clusterswitch 엔드포인트에 자동으로 연결되고, 그 다음부터 공격자는 클라이언트와 줌 웹 서버 사이의 트래픽을 열람하거나 조작할 수 있게 됩니다.”
클라이언트 업데이트 과정에 개입하기
검사기의 속성 차이 때문에 취약점이 생기고, 이를 이용해 필드 값을 조정하게 된 공격자라면 다음으로 권한을 충분히 높여 원격 코드 실행이 가능하도록 피해자의 시스템을 조작할 수 있게 된다. 프라트릭은 “줌 클라이언트는 줌 웹 서버에 주기적으로 신호를 줘서 업데이트할 것이 있는지 확인한다”고 말한다. “그런데 위에서 중간자 공격을 실시할 수 있을 정도까지 공격자가 기반을 마련했죠? 그런 공격자라면 이렇게 서버와 클라이언트 간에 오가는 신호들도 바꿀 수 있게 됩니다. 가짜 업데이트 파일을 보낼 수 있다는 뜻입니다.”
프라트릭은 이 부분에 약간의 문제가 있다고 설명한다. “줌 클라이언트는 업데이트 과정에서 두 개의 파일을 다운로드 합니다. 그리고 이 파일들이 정상인지 확인하죠. 두 개 중 한 개의 파일은 installer.exe이고, Zoom Video Communications에 의해 서명이 되어 있어야 정상입니다. 그 다음은 .cab 파일이고, 해시의 상태가 확인됩니다. 공격자들은 두 가지의 확인 절차를 극복해야만 하는데요, 이 부분은 간단히 해결될 수 있습니다. 바로 다운그레이드 공격이죠.”
프라트릭은 이 부분을 실험하기 위해 2019년 중반에 나온 줌 4.4 버전을 활용했고, 그러면서 줌 클라이언트의 확인 절차를 피해갈 수 있었다고 한다. “4.4 버전의 installer.exe 파일은 제대로 서명이 되어 있어서 첫 번째 확인 절차를 무사히 통과합니다. 하지만 두 번째 .cab 파일을 확인하는 기능이 존재하지 않습니다. 그래서 두 번째 확인 단계도 무사히 빠져나갈 수 있게 됩니다. 가짜 업데이트 파일을 이런 식으로 전송할 수 있게 됩니다.”
지금 당장 패치하라
위와 같은 공격에 연루된 취약점은 총 6개라고 프라트릭은 공개했다. 이 중 줌과 직접적으로 관련이 있는 취약점은 4개로, 다음과 같다.
1) CVE-2022-22784 (부적절한 XML 검사)
2) CVE-2022-22786 (업데이트 패키지의 다운그레이드),
3) CVE-2022-22787 (부적절한 호스트 이름 검사),
4) CVE-2022-22785 (부적절한 세션 쿠키 검사)
네 개의 취약점은 줌 클라이언트 5.10.4 버전을 통해 전부 패치됐다.
나머지 두 개의 취약점은 다음과 같다.
1) CVE-2022-25235 : 엑스팻 검사기 관련 취약점
2) CVE-2022-25236 : 엑스팻 검사기 관련 취약점
엑스팻은 오픈소스이고, 수많은 애플리케이션들에서 활용되고 있어 이 두 개의 취약점은 공급망 공격에 악용될 수도 있다. 엑스팻 2.4.5 버전을 통해 패치는 완성됐다.
3줄 요약
1. 줌에서 발견되고 패치된 취약점 4개, 연쇄적으로 익스플로잇 하면 줌 사용자 해킹 가능.
2. 줌에서 채팅 메시지 보내는 것만으로도 공격 성공. 원격 코드 실행 공격도 가능.
3. 줌 클라이언트 5.10.4로 업그레이드 해야 하고 엑스팻이라는 오픈소스는 2.4.5 버전을 사용해야 안전.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 유명 화상 회의 및 원격 협업 플랫폼인 줌(Zoom)에서 새로운 공격 가능성이 발견됐다. 기존에 발견됐던 취약점 4개를 엮어서 익스플로잇 하면 제로클릭 원격 코드 실행 공격이 가능하다는 내용이다. 구글의 프로젝트 제로(Project Zero) 팀이 발견한 것으로, 취약점 하나하나가 대단히 위험한 건 아니지만 연쇄적으로 엮였을 때 위협적인 것으로 변한다는 것이 강조됐다.
[이미지 = utoimage]
보안 업체 벌칸사이버(Vulcan Cyber)의 수석 기술 엔지니어인 마이크 파킨(Mike Parkin)은 “줌의 인기를 생각했을 때 아무리 사소한 취약점이라도 큰 영향력이 있을 수밖에 없다”고 설명한다. “구글이 이번에 발표한 내용을 봤을 때 공격을 성공시키려면 한 가지 전제 조건이 성립되어야 하는 것이 분명해 보입니다. 하지만 그 조건이라는 것이 공격자와 피해자가 줌으로 연결되어 있어야 한다는 것이기 때문에 그리 커다란 장애라고 말하기 어렵습니다. 줌으로 하루에도 몇 번씩 회의를 하는 게 요즘에는 일상이니까요.”
공격이 성립하는 가장 기본적인 이유
줌의 채팅 기능은 XML에 기반을 둔 메시지 프로토콜로 구성되어 있다. 이 프로토콜의 이름은 XMPP인데, 구글의 이반 프라트릭(Ivan Fratric)에 의하면 “XML의 짧은 스니펫들을 활용함으로써 메시지들이 교환되는 것”이라고 한다. 그리고 이 짧은 XML 스니펫들을 스탄자(stanza)라고 부른다는 설명을 덧붙인다. “줌 채팅 메시지를 사용자들이 교환할 때, 이 스탄자들이 클라이언트와 서버 사이를 부지런히 왔다갔다 합니다. 이 트래픽은 단일 스트림을 만들어 내는데요, 문제는 이 때 메시지 코드가 제대로 구성되어 있는 것인지가 제대로 확인되지 않는다는 겁니다.”
프라트릭의 설명이 이어진다. “클라이언트는 글룩스(gloox)라는 라이브러리를 사용해 XML을 확인합니다. 서버는 fast_xml이라는 라이브러리를 활용하고요. 그리고 이 fast_xml은 XML 검사기인 엑스팻(Expat)을 기반으로 하고 있습니다. 문제는 이 엑스팻과 글룩스가 사로 다른 방식으로 XML을 점검한다는 것이고, 그렇기 때문에 그 차이에서 취약점이 만들어집니다.”
프라트릭에 의하면 “엑스팻은 태그와 속성 이름을 확인하는 부분에 있어서 약간 느슨한 감이 있다”고 한다. “물음표가 들어간 태그 이름을 그대로 클라이언트에 전달하기도 합니다. 원래는 그러면 안 되는 것인데 말이죠. 그래서 클라이언트의 글룩스 검사기가 물음표를 보면 어떤 일이 일어날까요? 검사기 상태가 리셋됩니다. 그래서 그 후에 들어오는 모든 것들이 ‘정상적인 루트 노드’로 인식됩니다. 이 과정에서 통과되면 안 되는 것들이 통과가 됩니다.”
이 부분까지 익스플로잇을 한 공격자는 메시지 태그에 대한 제어권한을 갖게 된다. 무슨 뜻이냐면, from 속성(해당 메시지의 출처를 나타내는 필드)을 마음대로 조작할 수 있다는 것이다. 공격자가 아닌 다른 사람이 보낸 메시지인 것처럼 위조할 수 있게 되니 피해자를 다른 악성 웹사이트로 우회 접속시키거나 멀웨어를 다운로드 받게 유도하는 게 쉬워진다는 게 프라트릭의 설명이다. 공격자가 from 속성에 드롭박스나 구글 드라이브, 셰어포인트와 같은 유명 클라우드 서비스를 연결시킨다면 피해자는 더욱 의심을 하기 힘들게 된다.
중간자 공격
이러한 스탄자의 취약점을 이용하여 {strem:error}라는 태그를 조작하면 중간자 공격도 가능하게 된다고 프라트릭은 설명한다. “스탄자를 특수하게 조작하면 줌 클라이언트 내에서 클러스터스위치(ClusterSwitch)라는 임무를 생성할 수 있게 됩니다. 그리고 이 임무의 변수를 공격자가 제어하고 있는 웹 도메인으로 설정할 수 있게 되고요. 해당 임무와 관련된 정보들이 일단 공격자의 서버를 거치게 됨으로써 중간자 공격이 성립되는 것이죠.”
이 공격은 매우 간단하게 성공시킬 수 있다고 프라트릭은 설명한다. “피해자에게 간단하게 메시지만 타이핑해서 전송하면 됩니다. 이 때 iddqd라는 문자열이 태그에 포함되기만 하면 끝입니다. 그러면 피해자의 클라이언트가 공격자가 제공한 도메인의 /clusterswitch 엔드포인트에 자동으로 연결되고, 그 다음부터 공격자는 클라이언트와 줌 웹 서버 사이의 트래픽을 열람하거나 조작할 수 있게 됩니다.”
클라이언트 업데이트 과정에 개입하기
검사기의 속성 차이 때문에 취약점이 생기고, 이를 이용해 필드 값을 조정하게 된 공격자라면 다음으로 권한을 충분히 높여 원격 코드 실행이 가능하도록 피해자의 시스템을 조작할 수 있게 된다. 프라트릭은 “줌 클라이언트는 줌 웹 서버에 주기적으로 신호를 줘서 업데이트할 것이 있는지 확인한다”고 말한다. “그런데 위에서 중간자 공격을 실시할 수 있을 정도까지 공격자가 기반을 마련했죠? 그런 공격자라면 이렇게 서버와 클라이언트 간에 오가는 신호들도 바꿀 수 있게 됩니다. 가짜 업데이트 파일을 보낼 수 있다는 뜻입니다.”
프라트릭은 이 부분에 약간의 문제가 있다고 설명한다. “줌 클라이언트는 업데이트 과정에서 두 개의 파일을 다운로드 합니다. 그리고 이 파일들이 정상인지 확인하죠. 두 개 중 한 개의 파일은 installer.exe이고, Zoom Video Communications에 의해 서명이 되어 있어야 정상입니다. 그 다음은 .cab 파일이고, 해시의 상태가 확인됩니다. 공격자들은 두 가지의 확인 절차를 극복해야만 하는데요, 이 부분은 간단히 해결될 수 있습니다. 바로 다운그레이드 공격이죠.”
프라트릭은 이 부분을 실험하기 위해 2019년 중반에 나온 줌 4.4 버전을 활용했고, 그러면서 줌 클라이언트의 확인 절차를 피해갈 수 있었다고 한다. “4.4 버전의 installer.exe 파일은 제대로 서명이 되어 있어서 첫 번째 확인 절차를 무사히 통과합니다. 하지만 두 번째 .cab 파일을 확인하는 기능이 존재하지 않습니다. 그래서 두 번째 확인 단계도 무사히 빠져나갈 수 있게 됩니다. 가짜 업데이트 파일을 이런 식으로 전송할 수 있게 됩니다.”
지금 당장 패치하라
위와 같은 공격에 연루된 취약점은 총 6개라고 프라트릭은 공개했다. 이 중 줌과 직접적으로 관련이 있는 취약점은 4개로, 다음과 같다.
1) CVE-2022-22784 (부적절한 XML 검사)
2) CVE-2022-22786 (업데이트 패키지의 다운그레이드),
3) CVE-2022-22787 (부적절한 호스트 이름 검사),
4) CVE-2022-22785 (부적절한 세션 쿠키 검사)
네 개의 취약점은 줌 클라이언트 5.10.4 버전을 통해 전부 패치됐다.
나머지 두 개의 취약점은 다음과 같다.
1) CVE-2022-25235 : 엑스팻 검사기 관련 취약점
2) CVE-2022-25236 : 엑스팻 검사기 관련 취약점
엑스팻은 오픈소스이고, 수많은 애플리케이션들에서 활용되고 있어 이 두 개의 취약점은 공급망 공격에 악용될 수도 있다. 엑스팻 2.4.5 버전을 통해 패치는 완성됐다.
3줄 요약
1. 줌에서 발견되고 패치된 취약점 4개, 연쇄적으로 익스플로잇 하면 줌 사용자 해킹 가능.
2. 줌에서 채팅 메시지 보내는 것만으로도 공격 성공. 원격 코드 실행 공격도 가능.
3. 줌 클라이언트 5.10.4로 업그레이드 해야 하고 엑스팻이라는 오픈소스는 2.4.5 버전을 사용해야 안전.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
