네트워크 스위치 제품 일부에서 취약점이 발견됐다. 스위치의 일부 요소에서 취약점이 나올 경우 망분리를 아무리 꼼꼼하게 해도 소용이 없다. 다행히 업데이트가 나와 부지런히 배포되는 중이다.
[보안뉴스 문가용 기자] 아루바(Aruba)와 아바야(Avaya)에서 나온 네트워크 스위치들에서 여러 개의 취약점이 발견됐다. 이 취약점을 공격자들이 익스플로잇 하는 데 성공할 경우 원격 코드 실행 공격을 통해 장비를 완전히 장악할 수 있게 된다고 한다. 이 취약점을 발견한 건 보안 업체 아르미스(Armis)이며, 찾아낸 취약점의 수는 총 5개다. 2개는 아루바 스위치에서, 3개는 아바야 스위치에서라고 한다.
[이미지 = utoimage]
이 취약점들의 심각성은 자못 클 수 있다. 특히 3개의 아바야 스위치 취약점들은 ‘제로 클릭’이라는 속성을 가지고 있다. 즉 사용자(피해자)의 행동을 공격자 편에서 유발할 필요가 없다는 뜻이다. 또한 3개 중 1개는 이미 제조사 측에서 단종을 선언한 제품에서 나오기도 했다. 즉 앞으로 패치가 나오지 않을 가능성이 훨씬 높다는 뜻이다.
아르미스의 연구 수석인 바락 하다드(Barak Hadad)는 “네트워크 스위치가 인터넷에 직접 연결된 사례는 매우 드물기 때문에 이번에 발견된 취약점들이 중대한 위험을 초래할 가능성은 낮아 보이지만, 그럼에도 위험 요소가 거기에 있다는 것 자체는 변함없는 사실”이라고 말한다. “꽤나 큰 문제라고 결론을 내릴 수 있습니다. 스위치는 망분리를 할 때 게이트키퍼의 역할을 하는 요소이기 때문입니다. 취약한 스위치로 망분리를 한다는 건, 망분리를 소용없게 만드는 것입니다.”
취약점의 상세 정보를 요약하면 다음과 같다.
1) 아루바
- CVE-2022-23677 : NanoSSL과 관련된 9.0점짜리 원격 코드 실행 취약점
- CVE-2022-23676 : RADIUS와 관련된 9.1점짜리 클라이언트 메모리 변형 취약점
2) 아바야
- CVE-2022-29860 : TLS와 관련된 9.8점짜리 힙 오버플로우 취약점
- CVE-2022-29861 : HTTP 헤더와 관련된 9.8점짜리 스택 오버플로우 취약점
- HTTP POST와 관련된 힙 오버플로우 취약점(CVE 번호 없음)
소프트웨어 공급망 문제
이번에 발견된 취약점들은 소프트웨어 공급망이 가진 위험을 다시 한 번 상기시켜 준다고 아르미스는 설명한다. “이번 취약점들 중 세 개가 서드파티 라이브러리에서 나온 취약점들 때문에 발생한 것이기 때문입니다. 소프트웨어가 의존하고 있는 라이브러리의 보안 오류들은 취약점을 새롭게 만들거나 증식시킵니다. 그리고 오늘 날 소프트웨어를 구성하는 코드베이스의 평균 78%를 오픈소스 라이브러리와 요소들이 차지하고 있고요.”
외부에서 만들어진 라이브러리나 코드들을 사용하는 개발자들이 크게 늘어나고 있다. 그런 식의 개발 행위에 많은 이점이 있기 때문이다. “개발이 유연해지고 빨라진다는 큰 장점이 있습니다. 하지만 자기가 가져다 쓰는 코드를 일일이 확인하지 않을 때 자기도 모르게 위험 요소를 도입할 수 있게 된다는 단점이 있습니다. 아무 것도 모른 채 외부 요소를 신뢰한다는 건 꽤나 치명적으로 작용할 수 있지요.”
TLS
이번에 발견된 취약점들 중 세 개는 사물인터넷 사이버 보안 업체인 모카나(Mocana)가 만든 라이브러리인 나노SSL(NanoSSL)과 관련이 깊다. TLS를 구축하는 데 도움을 주는 라이브러리인데, 이 라이브러리가 일부 구축되는 과정에서 오류 처리 방식에 문제가 생기는 경우가 있다. 공격자는 이 라이브러리에서 오류를 일으킬 만한 네트워크 패킷을 만들어 공격에 활용할 수 있게 된다. 나노SSL을 사용해 만들어진 소프트웨어들에도 모두 이 취약점이 존재하게 된다.
이 나노SSL 관련 취약점은 두 가지 결과를 일으킨다. 메모리 변형과 상태 혼동이 바로 그것이다. “TLS 핸드셰이크가 시작되고, 반대 쪽에서 오류 메시지를 전송하는데 이 오류를 제대로 확인하지 않으면 메모리를 변경시키거나 상태 혼동이 오게 만들 수 있게 된다는 뜻입니다. 경우에 따라 이는 원격 코드 실행 공격으로 이어지기도 합니다. 모카나는 해당 라이브러리의 사용자 확인란을 통해 ‘사용 전 오류가 있는지 확인하라’고 당부하고 있습니다만, 우리가 다 알듯이 그런 일은 잘 일어나지 않죠.” 하다드의 설명이다.
아르미스는 모카나, 아루바, 아바야 측과 함께 이 문제를 해결하기 위한 작업을 시작했다. 그런 후 각 기업 고객들에게 취약점에 대한 공지가 나갔고, 각 업체들은 자사 제품에 적용할 수 있는 업데이트를 배포했다. 모카나의 경우 소프트웨어 자체에서 취약점이 발견된 것은 아니지만 그럼에도 취약점 업데이트를 개발했다. 최대한 사용자들이 안전한 구축을 할 수 있게 해 주는 업데이트였다.
이 라이브러리 관련 취약점들에는 TL스톰(TLStorm) 2.0이라는 이름이 붙었다. 이 취약점들은 지난 3월 스마트 기술로 연결된 UPS에서 발견된 취약점들과 매우 흡사한 것으로 분석됐다. 이 역시 아르미스가 발견했던 것으로, APC가 개발한 일부 UPS 모델들에서 발견됐다. 현재 APC는 슈나이더 일렉트릭에 소속되어 있다. 이 UPS는 슈나이더 일렉트릭 클라우드(Schneider Electric Cloud)에 연결돼 관리를 원활하게 만들어주는 것인데, 이 TL스톰과 비슷한 취약점 때문에 공격자가 원격에서 장비를 침해할 수 있게 되었다. 그리고 전력과 전압을 변경시킴으로써 UPS를 손상시킬 수 있었다.
3줄 요약
1. 아루바와 아바야의 네트워크 스위치 제품 일부에서 취약점 발견됨.
2. 일부 취약점들의 근원은 서드파티 오픈소스 라이브러리인 나노SSL의 구축이 잘못된 경우.
3. 지난 3월에도 비슷한 문제가 UPS 장비 일부에서 발견된 바 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 아루바(Aruba)와 아바야(Avaya)에서 나온 네트워크 스위치들에서 여러 개의 취약점이 발견됐다. 이 취약점을 공격자들이 익스플로잇 하는 데 성공할 경우 원격 코드 실행 공격을 통해 장비를 완전히 장악할 수 있게 된다고 한다. 이 취약점을 발견한 건 보안 업체 아르미스(Armis)이며, 찾아낸 취약점의 수는 총 5개다. 2개는 아루바 스위치에서, 3개는 아바야 스위치에서라고 한다.
[이미지 = utoimage]
이 취약점들의 심각성은 자못 클 수 있다. 특히 3개의 아바야 스위치 취약점들은 ‘제로 클릭’이라는 속성을 가지고 있다. 즉 사용자(피해자)의 행동을 공격자 편에서 유발할 필요가 없다는 뜻이다. 또한 3개 중 1개는 이미 제조사 측에서 단종을 선언한 제품에서 나오기도 했다. 즉 앞으로 패치가 나오지 않을 가능성이 훨씬 높다는 뜻이다.
아르미스의 연구 수석인 바락 하다드(Barak Hadad)는 “네트워크 스위치가 인터넷에 직접 연결된 사례는 매우 드물기 때문에 이번에 발견된 취약점들이 중대한 위험을 초래할 가능성은 낮아 보이지만, 그럼에도 위험 요소가 거기에 있다는 것 자체는 변함없는 사실”이라고 말한다. “꽤나 큰 문제라고 결론을 내릴 수 있습니다. 스위치는 망분리를 할 때 게이트키퍼의 역할을 하는 요소이기 때문입니다. 취약한 스위치로 망분리를 한다는 건, 망분리를 소용없게 만드는 것입니다.”
취약점의 상세 정보를 요약하면 다음과 같다.
1) 아루바
- CVE-2022-23677 : NanoSSL과 관련된 9.0점짜리 원격 코드 실행 취약점
- CVE-2022-23676 : RADIUS와 관련된 9.1점짜리 클라이언트 메모리 변형 취약점
2) 아바야
- CVE-2022-29860 : TLS와 관련된 9.8점짜리 힙 오버플로우 취약점
- CVE-2022-29861 : HTTP 헤더와 관련된 9.8점짜리 스택 오버플로우 취약점
- HTTP POST와 관련된 힙 오버플로우 취약점(CVE 번호 없음)
소프트웨어 공급망 문제
이번에 발견된 취약점들은 소프트웨어 공급망이 가진 위험을 다시 한 번 상기시켜 준다고 아르미스는 설명한다. “이번 취약점들 중 세 개가 서드파티 라이브러리에서 나온 취약점들 때문에 발생한 것이기 때문입니다. 소프트웨어가 의존하고 있는 라이브러리의 보안 오류들은 취약점을 새롭게 만들거나 증식시킵니다. 그리고 오늘 날 소프트웨어를 구성하는 코드베이스의 평균 78%를 오픈소스 라이브러리와 요소들이 차지하고 있고요.”
외부에서 만들어진 라이브러리나 코드들을 사용하는 개발자들이 크게 늘어나고 있다. 그런 식의 개발 행위에 많은 이점이 있기 때문이다. “개발이 유연해지고 빨라진다는 큰 장점이 있습니다. 하지만 자기가 가져다 쓰는 코드를 일일이 확인하지 않을 때 자기도 모르게 위험 요소를 도입할 수 있게 된다는 단점이 있습니다. 아무 것도 모른 채 외부 요소를 신뢰한다는 건 꽤나 치명적으로 작용할 수 있지요.”
TLS
이번에 발견된 취약점들 중 세 개는 사물인터넷 사이버 보안 업체인 모카나(Mocana)가 만든 라이브러리인 나노SSL(NanoSSL)과 관련이 깊다. TLS를 구축하는 데 도움을 주는 라이브러리인데, 이 라이브러리가 일부 구축되는 과정에서 오류 처리 방식에 문제가 생기는 경우가 있다. 공격자는 이 라이브러리에서 오류를 일으킬 만한 네트워크 패킷을 만들어 공격에 활용할 수 있게 된다. 나노SSL을 사용해 만들어진 소프트웨어들에도 모두 이 취약점이 존재하게 된다.
이 나노SSL 관련 취약점은 두 가지 결과를 일으킨다. 메모리 변형과 상태 혼동이 바로 그것이다. “TLS 핸드셰이크가 시작되고, 반대 쪽에서 오류 메시지를 전송하는데 이 오류를 제대로 확인하지 않으면 메모리를 변경시키거나 상태 혼동이 오게 만들 수 있게 된다는 뜻입니다. 경우에 따라 이는 원격 코드 실행 공격으로 이어지기도 합니다. 모카나는 해당 라이브러리의 사용자 확인란을 통해 ‘사용 전 오류가 있는지 확인하라’고 당부하고 있습니다만, 우리가 다 알듯이 그런 일은 잘 일어나지 않죠.” 하다드의 설명이다.
아르미스는 모카나, 아루바, 아바야 측과 함께 이 문제를 해결하기 위한 작업을 시작했다. 그런 후 각 기업 고객들에게 취약점에 대한 공지가 나갔고, 각 업체들은 자사 제품에 적용할 수 있는 업데이트를 배포했다. 모카나의 경우 소프트웨어 자체에서 취약점이 발견된 것은 아니지만 그럼에도 취약점 업데이트를 개발했다. 최대한 사용자들이 안전한 구축을 할 수 있게 해 주는 업데이트였다.
이 라이브러리 관련 취약점들에는 TL스톰(TLStorm) 2.0이라는 이름이 붙었다. 이 취약점들은 지난 3월 스마트 기술로 연결된 UPS에서 발견된 취약점들과 매우 흡사한 것으로 분석됐다. 이 역시 아르미스가 발견했던 것으로, APC가 개발한 일부 UPS 모델들에서 발견됐다. 현재 APC는 슈나이더 일렉트릭에 소속되어 있다. 이 UPS는 슈나이더 일렉트릭 클라우드(Schneider Electric Cloud)에 연결돼 관리를 원활하게 만들어주는 것인데, 이 TL스톰과 비슷한 취약점 때문에 공격자가 원격에서 장비를 침해할 수 있게 되었다. 그리고 전력과 전압을 변경시킴으로써 UPS를 손상시킬 수 있었다.
3줄 요약
1. 아루바와 아바야의 네트워크 스위치 제품 일부에서 취약점 발견됨.
2. 일부 취약점들의 근원은 서드파티 오픈소스 라이브러리인 나노SSL의 구축이 잘못된 경우.
3. 지난 3월에도 비슷한 문제가 UPS 장비 일부에서 발견된 바 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
