.gif)
인증 토큰과 세션 쿠키를 암호화 없이 로컬에 그대로 저장
물리적 접근 성공하거나 시스템 침해하면 VPN 세션도 장악 당할 수 있어
[보안뉴스 문가용 기자] 시스코(Cisco), F5 네트웍스(F5 Networks), 팔로알토 네트웍스(Palo Alto Networks), 펄스 시큐어(Pulse Secure)에서 만든 VPN 앱들에서 문제가 발견됐다. 인증 토큰과 세션 쿠키를 암호화 없이 사용자 컴퓨터에 저장한다는 것이다. 이에 대해 미국의 사이버 보안 및 기반 시설 안보국(Cybersecurity and Infrastructure Security Agency, CISA)가 발표했다.
[이미지 = iclickart]
“VPN앱이 인증 토큰과 세션 쿠키를 그런 식으로 저장한다는 건, 사용자 장비에 로컬 접근이 가능한 공격자가 VPN 세션을 스푸핑하고, 사용자인 것처럼 가동시킬 수 있다는 뜻이 됩니다.” VPN이라는 것이 인터넷의 A라는 지점에서 B라는 지점을 안전하고 은밀하게 연결하는 데 사용된다는 것을 생각했을 때 이는 치명적인 결함일 수 있다.
“공격자가 VPN 사용자의 엔드포인트에 지속적으로 접근할 수 있게 되거나, 쿠키를 빼돌릴 수 있게 된다면, 사용자의 VPN 세션을 똑같이 재생함으로써 인증 장치들을 우회할 수 있게 됩니다. 사용자가 VPN을 통해 접근하고 사용했던 애플리케이션들을 공격자들도 사용할 수 있게 되는 겁니다.” CISA의 설명이다.
문제가 발견된 VPN들 중 쿠키를 로그 파일과 메모리 내에 불안전하게 저장하는 것으로 나타난 플랫폼들은 다음과 같다.
1) CVE-2019-1573 : 팔로알토의 ▲윈도우용 글로벌프로텍트 에이전트 4.1.0(GlobalProtect Agent 4.1.0 for Windows), ▲ 맥OS용 글로벌프로텍트 에이전트 4.1.10(GlobalProtect Agent 4.1.10 for macOS) 및 그 이전 버전.
2) CVE-2013-6024 : 펄스 시큐어의 ▲ 커넥트 시큐어(Connect Secure) 8.1R14 이전 버전, 8.2, 8.3R6, 9.0R2, ▲ F5 BIG-IP APM 11.41 및 이전 버전의 엣지 클라이언트(Edge Client)요소들, ▲ BIG-IP 엣지 게이트웨이(Edge Gateway) 11.3 및 이전 버전, ▲ 파이어패스(FirePass) 7.0 및 이전 버전.
여기에 더해 시스코의 애니커넥트(AnyConnect) 4.7.x 및 그 이전 버전들은 쿠키를 메모리 내에 부정확하게 저장한다고 한다. CISA는 “다른 플랫폼들에서도 비슷한 현상이 충분히 있을 수 있다”며 “VPN 애플리케이션들에서 흔히 나타나는 현상으로 의심된다”고 말했다.
보안 업체 시큐리티퍼스트(SecurityFirst)의 CMO인 댄 터클러(Dan Tuchler)는 “지금 언급되고 있는 VPN들은 유명 업체들이 기업용으로 만든 것들”이라고 강조한다. “기업의 자산을 보호하기 위해 승인을 받은 정상 사용자들만 접근할 수 있도록 만든 것입니다. 하지만 이렇게 기초적인 부분에서 문제가 발견됐다는 건 심각한 일입니다.”
그러면서 그는 “브랜드 이름과 ‘기업용 제품’이라는 분류만으로 자산을 안전하게 지킬 수 없다”고 강조한다. “네트워크의 경계선이라는 개념이 얼마나 모호한 것인지 이해하고, 제로트러스트(zero-trust) 모델을 도입하는 게 중요합니다. 공격자가 네트워크에 침투하는 데 성공한 후 고가치의 자산에 접근하기 시작했을 때를 가정하고 데이터를 암호화하고, 접근과 사용에 있어 안전한 정책을 적용하며, 항상 모니터링해야 하죠. 좋은 회사의 VPN을 사용했다는 것만으로 뭔가가 보호될 거라는 생각은 거의 항상 틀립니다.”
팔로알토는 글로벌프로텍트 4.1.1 버전을 통해 위 문제를 패치했다. F5도 12.1.3과 13.1.0 및 상위 버전들을 통해 자사 제품에서 나타난 문제들을 해결했다. 사실 F5는 불안전한 메모리 저장 문제를 2013년부터 알고 있었다고 CISA는 설명한다. 시스코의 애니커넥트와 펄스 시큐어의 커넥트 시큐어 제품의 경우, 아직 패치가 나오지 않고 있다.
(기사 업데이트 : 펄스시큐어의 경우 Pulse Desktop Client 9.0R3를 포함한 그 이후 버전과 Pulse Desktop Client 5.3R7을 포함한 그 이후 버전, 펄스커넥트시큐어(PCS) 9.0R3 및 그 이후 버전, 8.3R7 및 그 이후 버전, 8.1R14 및 그 이후 버전을 통해 픽스 배포를 완료했다.)
이번에 발표된 취약점들은 전부 중간 등급의 위험성을 가지고 있는 것으로 결정됐다. 악용을 위해서는 공격자가 사용자의 컴퓨터를 먼저 침해하거나 물리적으로 접근해야 하기 때문이다.
보안 업체 콤패리테크(Comparitech)의 프라이버시 고문인 폴 비쇼프(Paul Bischoff)는 “중간급 위험도를 가진 취약점이라고 해서 간과하면 안 된다”고 강조한다. “이 VPN을 사용하는 조직들이라면 보안과 자산 보호에 큰 신경을 쓰고 있는 경우가 많을 텐데, 그런 곳이라면 해커들이 더 집요하게 표적 공격을 할 수 있습니다. 공격을 성립시키기 위한 전제조건이란 건 해커들에게 그리 큰 문제가 되지 않을 때가 많습니다.”
3줄 요약
1. 시스코, F5 네트웍스, 팔로알토 네트웍스, 펄스 시큐어에서 제공하는 VPN 앱들에서 취약점 발견됨.
2. 세션 쿠키 등을 로컬에 암호화 하지 않고 저장하는 것으로, 공격자가 해당 시스템을 침해하면 사용자 흉내 내 VPN 사용 가능.
3. 유명 업체의 솔루션 하나만으로 모든 보안 문제가 해결되지 않는다는 점 기억해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
물리적 접근 성공하거나 시스템 침해하면 VPN 세션도 장악 당할 수 있어
[보안뉴스 문가용 기자] 시스코(Cisco), F5 네트웍스(F5 Networks), 팔로알토 네트웍스(Palo Alto Networks), 펄스 시큐어(Pulse Secure)에서 만든 VPN 앱들에서 문제가 발견됐다. 인증 토큰과 세션 쿠키를 암호화 없이 사용자 컴퓨터에 저장한다는 것이다. 이에 대해 미국의 사이버 보안 및 기반 시설 안보국(Cybersecurity and Infrastructure Security Agency, CISA)가 발표했다.
[이미지 = iclickart]
“VPN앱이 인증 토큰과 세션 쿠키를 그런 식으로 저장한다는 건, 사용자 장비에 로컬 접근이 가능한 공격자가 VPN 세션을 스푸핑하고, 사용자인 것처럼 가동시킬 수 있다는 뜻이 됩니다.” VPN이라는 것이 인터넷의 A라는 지점에서 B라는 지점을 안전하고 은밀하게 연결하는 데 사용된다는 것을 생각했을 때 이는 치명적인 결함일 수 있다.
“공격자가 VPN 사용자의 엔드포인트에 지속적으로 접근할 수 있게 되거나, 쿠키를 빼돌릴 수 있게 된다면, 사용자의 VPN 세션을 똑같이 재생함으로써 인증 장치들을 우회할 수 있게 됩니다. 사용자가 VPN을 통해 접근하고 사용했던 애플리케이션들을 공격자들도 사용할 수 있게 되는 겁니다.” CISA의 설명이다.
문제가 발견된 VPN들 중 쿠키를 로그 파일과 메모리 내에 불안전하게 저장하는 것으로 나타난 플랫폼들은 다음과 같다.
1) CVE-2019-1573 : 팔로알토의 ▲윈도우용 글로벌프로텍트 에이전트 4.1.0(GlobalProtect Agent 4.1.0 for Windows), ▲ 맥OS용 글로벌프로텍트 에이전트 4.1.10(GlobalProtect Agent 4.1.10 for macOS) 및 그 이전 버전.
2) CVE-2013-6024 : 펄스 시큐어의 ▲ 커넥트 시큐어(Connect Secure) 8.1R14 이전 버전, 8.2, 8.3R6, 9.0R2, ▲ F5 BIG-IP APM 11.41 및 이전 버전의 엣지 클라이언트(Edge Client)요소들, ▲ BIG-IP 엣지 게이트웨이(Edge Gateway) 11.3 및 이전 버전, ▲ 파이어패스(FirePass) 7.0 및 이전 버전.
여기에 더해 시스코의 애니커넥트(AnyConnect) 4.7.x 및 그 이전 버전들은 쿠키를 메모리 내에 부정확하게 저장한다고 한다. CISA는 “다른 플랫폼들에서도 비슷한 현상이 충분히 있을 수 있다”며 “VPN 애플리케이션들에서 흔히 나타나는 현상으로 의심된다”고 말했다.
보안 업체 시큐리티퍼스트(SecurityFirst)의 CMO인 댄 터클러(Dan Tuchler)는 “지금 언급되고 있는 VPN들은 유명 업체들이 기업용으로 만든 것들”이라고 강조한다. “기업의 자산을 보호하기 위해 승인을 받은 정상 사용자들만 접근할 수 있도록 만든 것입니다. 하지만 이렇게 기초적인 부분에서 문제가 발견됐다는 건 심각한 일입니다.”
그러면서 그는 “브랜드 이름과 ‘기업용 제품’이라는 분류만으로 자산을 안전하게 지킬 수 없다”고 강조한다. “네트워크의 경계선이라는 개념이 얼마나 모호한 것인지 이해하고, 제로트러스트(zero-trust) 모델을 도입하는 게 중요합니다. 공격자가 네트워크에 침투하는 데 성공한 후 고가치의 자산에 접근하기 시작했을 때를 가정하고 데이터를 암호화하고, 접근과 사용에 있어 안전한 정책을 적용하며, 항상 모니터링해야 하죠. 좋은 회사의 VPN을 사용했다는 것만으로 뭔가가 보호될 거라는 생각은 거의 항상 틀립니다.”
팔로알토는 글로벌프로텍트 4.1.1 버전을 통해 위 문제를 패치했다. F5도 12.1.3과 13.1.0 및 상위 버전들을 통해 자사 제품에서 나타난 문제들을 해결했다. 사실 F5는 불안전한 메모리 저장 문제를 2013년부터 알고 있었다고 CISA는 설명한다. 시스코의 애니커넥트와 펄스 시큐어의 커넥트 시큐어 제품의 경우, 아직 패치가 나오지 않고 있다.
(기사 업데이트 : 펄스시큐어의 경우 Pulse Desktop Client 9.0R3를 포함한 그 이후 버전과 Pulse Desktop Client 5.3R7을 포함한 그 이후 버전, 펄스커넥트시큐어(PCS) 9.0R3 및 그 이후 버전, 8.3R7 및 그 이후 버전, 8.1R14 및 그 이후 버전을 통해 픽스 배포를 완료했다.)
이번에 발표된 취약점들은 전부 중간 등급의 위험성을 가지고 있는 것으로 결정됐다. 악용을 위해서는 공격자가 사용자의 컴퓨터를 먼저 침해하거나 물리적으로 접근해야 하기 때문이다.
보안 업체 콤패리테크(Comparitech)의 프라이버시 고문인 폴 비쇼프(Paul Bischoff)는 “중간급 위험도를 가진 취약점이라고 해서 간과하면 안 된다”고 강조한다. “이 VPN을 사용하는 조직들이라면 보안과 자산 보호에 큰 신경을 쓰고 있는 경우가 많을 텐데, 그런 곳이라면 해커들이 더 집요하게 표적 공격을 할 수 있습니다. 공격을 성립시키기 위한 전제조건이란 건 해커들에게 그리 큰 문제가 되지 않을 때가 많습니다.”
3줄 요약
1. 시스코, F5 네트웍스, 팔로알토 네트웍스, 펄스 시큐어에서 제공하는 VPN 앱들에서 취약점 발견됨.
2. 세션 쿠키 등을 로컬에 암호화 하지 않고 저장하는 것으로, 공격자가 해당 시스템을 침해하면 사용자 흉내 내 VPN 사용 가능.
3. 유명 업체의 솔루션 하나만으로 모든 보안 문제가 해결되지 않는다는 점 기억해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
 th.jpg)
 TH.jpg)
 THJ.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
