각종 클라우드 서비스들에서 사용하는 SDK에서 권한 상승 취약점이 발견됐다. 일종의 공급망 공격을 가능하게 하는, 파급력이 높은 취약점이라 할 수 있다. 따라서 클라우드 업체들만큼 고객들도 꼼꼼하게 움직일 필요가 있다.
[보안뉴스 문가용 기자] 네트워크 가상화 전문 기업인 엘티마(Eltima)에서 만든 라이브러리에서 취약점이 발견됐다. 이 라이브러리는 아마존 등 수많은 클라우드 플랫폼에서 사용되는 것이라, 취약점의 파급력이 높아질 것으로 예상된다. 이 취약점은 권한 상승을 가능하게 만들어 준다.
[이미지 = utoimage]
보안 업체 센티넬원(SentinelOne)이 조사한 바에 의하면 이번에 문제가 된 라이브러리는 엘티마의 소프트웨어 개발 키트에서 발견된 것인데, 이는 다수의 클라우드 기반 가상화 서비스에서 활용되고 있다고 한다. 아마존의 워크스페이스(Worspaces), 님블 스튜디오 AMI(Nimble Studio AMI), 엘티마의 USB 네트워크 게이트(Network Gate)가 대표적이다. 공격자들은 이 취약점을 통해 원격 코드 실행 공격을 하여 권한을 높일 수 있다.
센티넬원의 수석 분석가인 J.A 게레로사드(J.A. Guerrero-Saade)는 “권한 상승 공격의 종류는 다양한데, 그 모든 것들 하나하나에 주의를 기울일 필요가 있다”고 설명한다. “공격자가 높은 권한을 얻게 되는 것이 모든 위험의 근원이 되기 때문”이란다. “권한이 높아지면 공격자들은 보안 규칙을 피해가거나, 보안 솔루션을 무력화시킬 수도 있습니다.”
또한 여러 서비스에서 공통적으로 사용되는 SDK에서 취약점이 발견되었기 때문에 위험한 공급망 공격으로 이어질 수 있다는 것 역시 지적되고 있다. “소프트웨어 개발 키트의 취약점은, 그 키트로 만들어지는 소프트웨어에 고스란히 전달됩니다. 그래서 개발자나 개발 키트를 노리는 공격이 점점 많아지고 있는 것이죠. 같은 맥락에서 오픈소스에 대한 공격도 증가하고 있고요. 다행히 오픈소스 패치의 평균 속도는 점점 빨라지고 있습니다. 10년 전에는 평균 371일이 소요됐는데 2021년에는 28일이 걸린 것으로 집계되었습니다.” 같은 이유로 코드 및 기능 공유 수단 중 하나인 API들 역시 잦은 공격의 대상이 되고 있다.
이번에 발견된 취약점은 ‘USB over Ethernet’ 기능과 관련이 있는 것으로 분석되고 있다. 데스크톱 클라이언트만이 아니라 클라우드 기반 인스턴스들 중 데스크톱 클라이언트를 통해 실행되는 서비스들에도 발견되는 기능이다. AWS만이 아니라 노머신(NoMachine), 어콥스(Accops) 등과 같은 서비스들에도 영향이 있는 것이 확인됐다. 센티넬원 측은 지난 5~7월, 각 기업들에 이 사실을 알렸고, 그 중 아마존은 패치를 7월에 발표했다. 다른 기업들의 경우 9~10월에 패치를 배포했다.
“서드파티 코드에 있는 취약점들은 다수의 제품과 시스템에 영향을 줄 가능성이 높습니다. 수많은 사용자들이 위험에 처할 수 있게 되는 거죠. 소프트웨어 디펜던시 때문에 취약점 하나의 영향력이 기하급수적으로 확장되는 겁니다. 심지어 그것이 클라우드 플랫폼과 관련이 있는 거라면 더 심각하죠. 따라서 관련 클라우드 사용 고객들이라면 권고 사항들을 따라 필요한 조치들을 취해야 합니다.” 센티넬원의 설명이다.
사용자 입장에서 취할 수 있는 필요한 조치란 단순하게 말해 자신이 사용하는 클라우드 서비스 및 소프트웨어가 최신화 되어 있는지 확인하는 것이다. “또한 엘티마의 SDK를 사용하는 소프트웨어 개발자라면 해당 SDK의 버전도 살펴야 합니다. 업데이트 상황을 반드시 알아본 후에 소프트웨어 개발에 착수하는 게 안전합니다.”
또한 소비자 혹은 고객으로서 서비스 제공 업체에 패치를 독촉하는(패치가 아직 안 되어 있다면) 것도 모두를 위해 좋은 선택이라고 센티넬원은 강조한다. “클라우드 서비스 업체들이 모든 취약점 관리를 알아서 잘 할 거라고 여기는 건 위험합니다. 그들도 결국 사람이 운영하는 회사거든요. 클라우드 서비스를 사용하는 고객사라면 버전 확인과, 패치 요구를 습관처럼 하는 게 좋습니다.”
3줄 요약
1. 각종 클라우드 서비스들이 소프트웨어 개발에 사용하는 엘티마 SDK.
2. 이 SDK에서 권한 상승 취약점 나타나고, 이 SDK로 만들어진 서비스들에서도 나타남.
3. 클라우드 제공 업체들이 전부 패치하긴 했는데, 고객들도 버전 확인해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 네트워크 가상화 전문 기업인 엘티마(Eltima)에서 만든 라이브러리에서 취약점이 발견됐다. 이 라이브러리는 아마존 등 수많은 클라우드 플랫폼에서 사용되는 것이라, 취약점의 파급력이 높아질 것으로 예상된다. 이 취약점은 권한 상승을 가능하게 만들어 준다.
[이미지 = utoimage]
보안 업체 센티넬원(SentinelOne)이 조사한 바에 의하면 이번에 문제가 된 라이브러리는 엘티마의 소프트웨어 개발 키트에서 발견된 것인데, 이는 다수의 클라우드 기반 가상화 서비스에서 활용되고 있다고 한다. 아마존의 워크스페이스(Worspaces), 님블 스튜디오 AMI(Nimble Studio AMI), 엘티마의 USB 네트워크 게이트(Network Gate)가 대표적이다. 공격자들은 이 취약점을 통해 원격 코드 실행 공격을 하여 권한을 높일 수 있다.
센티넬원의 수석 분석가인 J.A 게레로사드(J.A. Guerrero-Saade)는 “권한 상승 공격의 종류는 다양한데, 그 모든 것들 하나하나에 주의를 기울일 필요가 있다”고 설명한다. “공격자가 높은 권한을 얻게 되는 것이 모든 위험의 근원이 되기 때문”이란다. “권한이 높아지면 공격자들은 보안 규칙을 피해가거나, 보안 솔루션을 무력화시킬 수도 있습니다.”
또한 여러 서비스에서 공통적으로 사용되는 SDK에서 취약점이 발견되었기 때문에 위험한 공급망 공격으로 이어질 수 있다는 것 역시 지적되고 있다. “소프트웨어 개발 키트의 취약점은, 그 키트로 만들어지는 소프트웨어에 고스란히 전달됩니다. 그래서 개발자나 개발 키트를 노리는 공격이 점점 많아지고 있는 것이죠. 같은 맥락에서 오픈소스에 대한 공격도 증가하고 있고요. 다행히 오픈소스 패치의 평균 속도는 점점 빨라지고 있습니다. 10년 전에는 평균 371일이 소요됐는데 2021년에는 28일이 걸린 것으로 집계되었습니다.” 같은 이유로 코드 및 기능 공유 수단 중 하나인 API들 역시 잦은 공격의 대상이 되고 있다.
이번에 발견된 취약점은 ‘USB over Ethernet’ 기능과 관련이 있는 것으로 분석되고 있다. 데스크톱 클라이언트만이 아니라 클라우드 기반 인스턴스들 중 데스크톱 클라이언트를 통해 실행되는 서비스들에도 발견되는 기능이다. AWS만이 아니라 노머신(NoMachine), 어콥스(Accops) 등과 같은 서비스들에도 영향이 있는 것이 확인됐다. 센티넬원 측은 지난 5~7월, 각 기업들에 이 사실을 알렸고, 그 중 아마존은 패치를 7월에 발표했다. 다른 기업들의 경우 9~10월에 패치를 배포했다.
“서드파티 코드에 있는 취약점들은 다수의 제품과 시스템에 영향을 줄 가능성이 높습니다. 수많은 사용자들이 위험에 처할 수 있게 되는 거죠. 소프트웨어 디펜던시 때문에 취약점 하나의 영향력이 기하급수적으로 확장되는 겁니다. 심지어 그것이 클라우드 플랫폼과 관련이 있는 거라면 더 심각하죠. 따라서 관련 클라우드 사용 고객들이라면 권고 사항들을 따라 필요한 조치들을 취해야 합니다.” 센티넬원의 설명이다.
사용자 입장에서 취할 수 있는 필요한 조치란 단순하게 말해 자신이 사용하는 클라우드 서비스 및 소프트웨어가 최신화 되어 있는지 확인하는 것이다. “또한 엘티마의 SDK를 사용하는 소프트웨어 개발자라면 해당 SDK의 버전도 살펴야 합니다. 업데이트 상황을 반드시 알아본 후에 소프트웨어 개발에 착수하는 게 안전합니다.”
또한 소비자 혹은 고객으로서 서비스 제공 업체에 패치를 독촉하는(패치가 아직 안 되어 있다면) 것도 모두를 위해 좋은 선택이라고 센티넬원은 강조한다. “클라우드 서비스 업체들이 모든 취약점 관리를 알아서 잘 할 거라고 여기는 건 위험합니다. 그들도 결국 사람이 운영하는 회사거든요. 클라우드 서비스를 사용하는 고객사라면 버전 확인과, 패치 요구를 습관처럼 하는 게 좋습니다.”
3줄 요약
1. 각종 클라우드 서비스들이 소프트웨어 개발에 사용하는 엘티마 SDK.
2. 이 SDK에서 권한 상승 취약점 나타나고, 이 SDK로 만들어진 서비스들에서도 나타남.
3. 클라우드 제공 업체들이 전부 패치하긴 했는데, 고객들도 버전 확인해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
