큐냅과 시놀로지의 NAS 장비들에서 다수 취약점 발견돼

2022-05-02 15:23
  • 카카오톡
  • 네이버 블로그
  • url
큐냅과 시놀로지의 장비들에 탑재된 오픈소스 프로토콜 네타토크에서 취약점이 다량으로 나왔다. 이 때문에 적잖은 NAS 장비들에 영향이 있다. 패치가 하나씩 나오고 있는 상황이라 당분간 패치 소식에 민감해질 필요가 있다.

[보안뉴스 문가용 기자] NAS 장비 제조사인 큐냅(QNAP)과 시놀로지(Synology)가 다량의 취약점 정보를 공개했다. 자사 제품에 통합된 오픈소스 파일 서버에서 발견된 것들이다. 일부는 원격 코드 실행을 가능하게 하며, 따라서 위험하다. 문제의 오픈소스 파일 서버는 애플 파일 프로토콜(Apple File Protocol)의 오픈소스 버전인 네타토크(Netatalk)라고 하며, 두 회사 모두 아직 패치를 내지 못하고 있다.


[이미지 = utoimage]

이번에 공개된 취약점은 총 6개며, 네타토크 유지 관리 책임자 측에 정보가 전달된 건 지난 12월이다. 다음과 같다.
1) CVE-2022-0194 : 원격 코드 실행을 유발하는 버퍼 오버플로우, 초고위험군
2) CVE-2022-23122 : 원격 코드 실행을 유발하는 버퍼 오버플로우, 초고위험군
3) CVE-2022-23125 : 원격 코드 실행을 유발하는 버퍼 오버플로우, 초고위험군
4) CVE-2022-23124 : 정보 노출 취약점, 중위험군
5) CVE-2022-23123 : 정보 노출 취약점, 중위험군
6) CVE-2022-23121 : 예외 규정 미처리, 초고위험군

보안 업체 트렌드 마이크로(Trend Micro)의 취약점 연구 수석인 브라이언 고렝크(Brian Gorenc)는 “6개 취약점 전부 2021년 11월 오스틴에서 진행된 폰트온(Pwn2Own) 대회에서 발견된 것”이라고 설명했다. 위 6개 취약점이 발견되기 한참 전인 2021년 3월에는 CVE-2021-31439라는 고위험군 원격 코드 실행 취약점이 네타토크에서 발견되기도 했었다. 네타토크 유지 관리 책임 주체는 지난 3월 23일 모든 7개 취약점이 해결된 3.1.13 버전을 배포했다.

고렝크는 “네타토크는 서드파티 요소로서 수많은 NAS 제조 업체들에서 사용한다”고 말한다. “이런 NAS 벤더들은 네타토크의 최신 버전을 늘 확인해서 제품에 반영시켜야 할 책임을 가지고 있습니다. 저희는 이번에 여러 NAS 업체들이 자발적으로 취약점 정보를 공개하고 패치를 서두르게 한 것이 매우 바람직하다고 보고 있습니다. 해킹 대회에서 발견된 취약점을 축소하거나 은폐하려는 예전 기업들의 행태가 정말 많이 사라졌습니다.”

이번에 발견된 네타토크 취약점의 영향을 받는 건 시놀로지와 큐냅 외에 웨스턴디지털(Western Digital)이라는 업체도 있다. 웨스턴디지털은 이미 올해 1월 10일 자사 제품들로부터 네타토크를 제거했고 관련 내용을 고지했다.

시놀로지의 보안 권고문에 의하면 이번에 발견된 네타토크 취약점은 민감한 정보에 대한 원격 공격을 가능하게 하기 때문에 매우 위험하다고 한다. 악성 행위자들은 이 취약점들을 통해 피해자의 NAS 장비들에 임의의 코드를 실행할 수 있게 된다고 하며, 이런 공격을 허용할 수 있는 소프트웨어는 디스크스테이션 매니저(DiskStation Manager)와 시놀로지 라우터 매니저(Synology Router Manager)라고 한다.

큐냅의 경우는 QTS OS 여러 버전들에서 네타토크 관련 취약점들을 발견했다고 하며, 현재 조사를 계속 이어가는 중이라고 한다. 또한 조사가 완료된 버전들부터 업데이트가 지속적으로 나올 것이라고 예고했다. 그러면서 취약점 패치가 나오는 대로 최대한 빠르게 시스템에 적용하라고 고객들에게 권고했다.

대만의 NAS 기업인 큐냅은 취약점 패치가 이뤄지기 전까지 고객들이 취할 수 있는 위험 완화 방법들도 일부 공개했다. 현재 큐냅이 패치를 미처 다 마련하지 못한 것은 CVE-2021-31439라고 한다. 1년 넘게 패치를 자사 제품용으로 전환시키지 못한 것이다. 패치 배포가 늦어지고 있는  이유에 대해서는 명확히 밝히지 않고 있다.

3줄 요약
1. NAS 기업 큐냅과 시놀로지, 제품에 영향 주는 취약점 발견해 발표.
2. 사실 장비 자체의 문제라기보다 제품에 통합된 오픈소스 요소인 네타토크가 문제의 근원.
3. 총 7개 취약점이 패치되어야 맞는 것인데, 아직 픽스가 나오는 중임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기