[보안뉴스 문가용 기자] NAS 장비 제조사인 큐냅(QNAP)과 시놀로지(Synology)가 다량의 취약점 정보를 공개했다. 자사 제품에 통합된 오픈소스 파일 서버에서 발견된 것들이다. 일부는 원격 코드 실행을 가능하게 하며, 따라서 위험하다. 문제의 오픈소스 파일 서버는 애플 파일 프로토콜(Apple File Protocol)의 오픈소스 버전인 네타토크(Netatalk)라고 하며, 두 회사 모두 아직 패치를 내지 못하고 있다.
[이미지 = utoimage]
이번에 공개된 취약점은 총 6개며, 네타토크 유지 관리 책임자 측에 정보가 전달된 건 지난 12월이다. 다음과 같다.
1) CVE-2022-0194 : 원격 코드 실행을 유발하는 버퍼 오버플로우, 초고위험군
2) CVE-2022-23122 : 원격 코드 실행을 유발하는 버퍼 오버플로우, 초고위험군
3) CVE-2022-23125 : 원격 코드 실행을 유발하는 버퍼 오버플로우, 초고위험군
4) CVE-2022-23124 : 정보 노출 취약점, 중위험군
5) CVE-2022-23123 : 정보 노출 취약점, 중위험군
6) CVE-2022-23121 : 예외 규정 미처리, 초고위험군
보안 업체 트렌드 마이크로(Trend Micro)의 취약점 연구 수석인 브라이언 고렝크(Brian Gorenc)는 “6개 취약점 전부 2021년 11월 오스틴에서 진행된 폰트온(Pwn2Own) 대회에서 발견된 것”이라고 설명했다. 위 6개 취약점이 발견되기 한참 전인 2021년 3월에는 CVE-2021-31439라는 고위험군 원격 코드 실행 취약점이 네타토크에서 발견되기도 했었다. 네타토크 유지 관리 책임 주체는 지난 3월 23일 모든 7개 취약점이 해결된 3.1.13 버전을 배포했다.
고렝크는 “네타토크는 서드파티 요소로서 수많은 NAS 제조 업체들에서 사용한다”고 말한다. “이런 NAS 벤더들은 네타토크의 최신 버전을 늘 확인해서 제품에 반영시켜야 할 책임을 가지고 있습니다. 저희는 이번에 여러 NAS 업체들이 자발적으로 취약점 정보를 공개하고 패치를 서두르게 한 것이 매우 바람직하다고 보고 있습니다. 해킹 대회에서 발견된 취약점을 축소하거나 은폐하려는 예전 기업들의 행태가 정말 많이 사라졌습니다.”
이번에 발견된 네타토크 취약점의 영향을 받는 건 시놀로지와 큐냅 외에 웨스턴디지털(Western Digital)이라는 업체도 있다. 웨스턴디지털은 이미 올해 1월 10일 자사 제품들로부터 네타토크를 제거했고 관련 내용을 고지했다.
시놀로지의 보안 권고문에 의하면 이번에 발견된 네타토크 취약점은 민감한 정보에 대한 원격 공격을 가능하게 하기 때문에 매우 위험하다고 한다. 악성 행위자들은 이 취약점들을 통해 피해자의 NAS 장비들에 임의의 코드를 실행할 수 있게 된다고 하며, 이런 공격을 허용할 수 있는 소프트웨어는 디스크스테이션 매니저(DiskStation Manager)와 시놀로지 라우터 매니저(Synology Router Manager)라고 한다.
큐냅의 경우는 QTS OS 여러 버전들에서 네타토크 관련 취약점들을 발견했다고 하며, 현재 조사를 계속 이어가는 중이라고 한다. 또한 조사가 완료된 버전들부터 업데이트가 지속적으로 나올 것이라고 예고했다. 그러면서 취약점 패치가 나오는 대로 최대한 빠르게 시스템에 적용하라고 고객들에게 권고했다.
대만의 NAS 기업인 큐냅은 취약점 패치가 이뤄지기 전까지 고객들이 취할 수 있는 위험 완화 방법들도 일부 공개했다. 현재 큐냅이 패치를 미처 다 마련하지 못한 것은 CVE-2021-31439라고 한다. 1년 넘게 패치를 자사 제품용으로 전환시키지 못한 것이다. 패치 배포가 늦어지고 있는 이유에 대해서는 명확히 밝히지 않고 있다.
3줄 요약
1. NAS 기업 큐냅과 시놀로지, 제품에 영향 주는 취약점 발견해 발표.
2. 사실 장비 자체의 문제라기보다 제품에 통합된 오픈소스 요소인 네타토크가 문제의 근원.
3. 총 7개 취약점이 패치되어야 맞는 것인데, 아직 픽스가 나오는 중임.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>