By KATE O'FLAHERTY, WIRED UK

6월에도 다양한 보안 업데이트가 배포되었다. 그중에는 구글 크롬과 안드로이드의 중요한 패치 작업 배포, 이미 해커 세력이 악용한 윈도 제로데이 취약점 등 마이크로소프트의 다양한 제품 보안 업데이트 등이 포함되었다. 애플은 이 기사를 작성할 시점까지 업데이트 사항을 배포하지 않았다. 다만, 이번 6월에는 시트릭스(Citrix), SAP, 시스코(Cisco) 제품 등 엔터프라이스 중심 제품의 패치 작업이 주로 진행되었다.

6월 주요 업데이트 사항 중 알아야 할 부분을 아래와 같이 설명한다.

마이크로소프트
마이크로소프트의 패치 화요일(Patch Tuesday)은 6월에 매우 많은 사항을 업데이트했다. 그중에는 마이크로소프트 제품에서 발견된 결함 55가지도 포함됐다. 6월의 패치 화요일은 이미 폴리나(Follina)라는 이름으로 알려진 윈도의 원격 코드 실행(RCE) 공격에 악용된 결함을 해결했다는 점에서 특히 중요하다. 마이크로소프트는 원격 코드 실행 문제를 5월부터 인지한 것으로 알려졌다.

CVE-2022-30190로 추적되는 폴리나는 이미 여러 해커 조직과 국가 산하 사이버 공격 세력이 윈도 지원 진단(Windows Support Diagnostic) 툴 취약점을 최대한 이용해 문서를 열지 않고도 명령을 실행하는 등 악용한 것으로 알려졌다.

윈도 서버에서 문제를 일으켜 패치 화요일에 수정한 취약점 세 가지는 '매우 중요함' 등급으로 분류된 원격 코드 실행 결함이다. 그러나 패치는 일부 VPN과 RDP 연결 오류를 일으키는 것으로 알려졌으므로 주의해야 한다.

구글 크롬
구글 크롬 업데이트는 여전히 매우 중요한 사항을 다루며 빠르게 진행되었다. 나전 세계에서 최고의 인기를 누리는 브라우저인 크롬이 기본적으로 해커의 표적이 되는 사례가 많다는 점에서 문제가 심각하다고 보기는 어렵다. 구글은 6월에 크롬 103을 공개했다. 크롬 103은 심각한 취약점 일부를 포함한 총 14가지 취약점을 수정했다.

CVE-2022-2156로 알려진 가장 심각한 결함은 구글 프로젝트 제로(Project Zero) 버그 퇴치팀이 발견한 베이스(Base)의 해제된 메모리 접근 문제를 일으키는 취약점인 UAF(use-after-free)이다. CVE-2022-2156는 임의 코드 실행이나 서비스 거부, 데이터 손상 등 문제를 일으킬 수 있다. 더 심각한 점은 다른 취약점과 함께 악용된다면, 시스템 전체 보안이 취약해질 수 있다는 사실이다.

크롬의 또 다른 패치 작업 중에는 인터레스트 그룹(Interest Groups), 웹앱 프로바이더(WebApp Provider)의 취약점, V8 자바스크립트와 웹어셈블리(WebAssembly) 엔진 결함 등이 포함되었다.
 
구글 안드로이드
안드로이드 시큐리티 불렛인(Android Security Bulletin)에 따르면, 6월 패치 작업을 진행한 안드로이드의 여러 보안 문제 중 가장 심각한 문제는 추가 실행 특권 없이도 원격 코드 실행 공격으로 이어질 수 있는 시스템 구성요소와 관련이 있다.

구글은 안드로이드 프레임워크(Android Framework)와 미디어 프레임워크(Media Framework), 시스템 구성요소(System Components)에서 픽셀 스마트폰 패치를 업데이트했다.

삼성 제품 사용자는 최근 안드로이드 보안 업데이트 이익을 누렸다. 삼성 제품의 신속한 패치 배포 덕분이다. 6월 보안 업데이트 사항은 특별하지 않다. 갤럭시 탭 S7 시리즈와 갤럭시 S21, 갤럭시 S22 시리즈, 갤럭시 Z 폴드 2에 직접 패치를 배포했다.

시스코
소프트웨어 개발사 시스코는 시스코 시큐어 이메일(Cisco Secure Email)과 웹 매니저(Web Manager), 시스코 이메일 시큐리티 얼라이언스(Cisco Email Security Appliance)의 중대한 결함을 수정했다. 이번에 수정한 결함은 문제가 발생한 기기의 웹 관리 인터페이스에서 인증 단계와 로그인 단계를 우회해 원격 공격을 개시할 수 있다.

CVE-2022-20798로 분류된 해당 결함은 사이버 공격 세력이 문제가 발생한 기기의 로그인 페이지에서 특정 정보를 손에 넣는다면, 웹 기반 관리 인터페이스에 접근할 권한을 확보하는 등 공격을 개시할 때 악용할 수 있다.

시트릭스
시트릭스는 6월, 해커 세력이 관리자 계정 비밀번호를 초기화할 수 있는 몇 가지 주요 취약점 패치 작업을 촉구하는 내용으로 경고했다. 시트릭스 애플리케이션 딜리버리 매니지먼트(Citrix Application Delivery Management)의 취약점은 권한이 없는 상태에서 원격으로 접근한 사용자 때문에 시스템 손상이 발생하도록 할 수 있다. 시트릭스는 보안 공식 발표를 통해 “시트릭스 애플리케이션 딜리버리 매니지먼트의 취약점을 악용한 공격으로 다음 기기 재부팅 시 관리자 계정 패스워드가 초기화된다. 이 때문에 기기를 초기화한다면, 사이버 공격 세력이 ssh 접근 권한을 보유한 채로 기본 관리자 계정 정보와 연결할 수 있다”라고 말했다.

시트릭스는 시트릭스 애플리케이션 딜리버리 매니지먼트의 IP 주소 트래픽을 표준 네트워크 트래픽과 분리하도록 권고하며, 트래픽 분리 시 위험성을 완화할 수 있다고 안내했다. 그러나 시트릭스는 사용자에게 시트릭스 애플리케이션 딜리버리 매니지먼트 서버와 시트릭스 애플리케이션 딜리버리 매니지먼트 에이전트 업데이트 버전을 최대한 빨리 설치하도록 촉구했다.

SAP
소프트웨어 기업 SAP는 6월 패치데이(June Patch Day)에 12가지 보안 패치를 배포했다. 그중 3가지는 위험성이 심각한 것으로 드러났다. SAP가 처음 배포한 보안 패치는 2018년 4월 패치데이에 배포된 패치와 관련이 있으며, 시트릭스 고객사가 사용하는 구글 크로뮴을 관리하는 브라우저에 적용할 수 있는 부분이다. 해당 취약점의 상세 정보는 알려진 바가 없으나 위험성 점수가 10점 만점 기준 10점으로 분류돼, 즉시 업데이트가 필요한 사항이다.

또 다른 주요 우려사항은 넷위버(NetWeaver)와 ABAP 플랫폼(ABAP Platform)의 SAP라우터(SAProuter) 프록시와 관련된 문제이다. 이를 악용한다면, 해커가 원격 클라이언트에 SAP라우터 관리자 명령을 실행할 수 있다. 세 번째 패치 수정 사항은 SAP 파워디자이너 프록시 16.7(SAP PowerDesigner Proxy 16.7)에서 발견된 권한 강화 버그 문제이다.

스플렁크 엔터프라이스
스플렁크(Splunk)는 엔터프라이스 제품의 오래된 패치를 배포했다. 패치 작업으로 수정한 문제 중에는 임의 코드 실행을 할 수 있는 중대한 위험성을 지닌 취약점이 포함되었다.

CVE-2022-32158로 분류된 해당 결함은 사이버 공격 세력이 유니버셜 포워더(Universal Forwarder) 엔드포인트 보안을 침해하고는 구축 서버와 연결된 다른 엔드포인트로 코드를 실행한다. 다행히도 CVE-2022-32158가 실제 사이버 공격에 동원된 사례는 보고되지 않았다.

닌자 폼스 워드프레스 플러그인
100만 가지가 넘는 활성 설치를 지닌 워드프레스 플러그인인 닌자 폼스(Ninja Forms)는 사이버 공격 세력이 사이버 공격에 마구 악용할 수 있는 취약점을 수정했다. 워드프레스 워드펜스 위협 인텔리전스(WordPress Wordfence Threat Intelligence) 팀 관계자는 보안 업데이트 사항 공지를 통해 “인증을 받지 않은 사이버 공격 세력이 사용자 공급 콘텐츠 배열의 일관성을 없애는 방식을 포함한 다양한 닌자 폼스의 수를 제한하도록 명령을 내릴 수 있는 코드 삽입 취약점을 발견했다. 해커 세력이 해당 취약점을 악용하면, 객체 삽입이 이루어질 수 있다.

그리고 해커 세력이 별도의 POP 체인이 등장하는 웹사이트의 임의 코드를 실행하거나 임의의 파일을 삭제하도록 할 수 있다.

해당 결함은 3.0.34.2 버전과 3.1.10 버전, 3.2.28 버전, 3.3.21.4 버전, 3.4.34.2 버전, 3.5.8.4 버전, 3.6.11 버전에 완벽히 패치 작업을 마쳤다. 워드프레스에서 플러그인 강제 자동 업데이트가 발견됐다. 따라서 많은 사용자의 웹사이트가 이미 패치 작업이 완료된 버전을 사용 중일 수도 있다.

아틀라시안
호주 소프트웨어 기업 아틀라시안(Atlassian)은 이미 사이버 공격에 악용된 사례가 발견된 제로데이 결함을 수정했다. CVE-2022-26134로 알려진 원격 코드 실행 취약점은 콘플루언스 서버(Confluence Server)와 데이터 센터(Data Center)에서 인터넷에 노출된 서버에 백도어를 심을 수 있다.

깃랩
깃랩(GitLab)은 깃랩 커뮤니티 에디션(GitLab Community Edition)과 엔터프라이스 에디션(Enterprise Edition) 15.0.1 버전과 14.10.4 버전, 14.9.5 버전 패치를 배포했다. 이번 업데이트에는 계정 탈취 피해를 일으킬 수 있는 취약점 한 가지를 포함해 총 8가지 취약점의 중요한 보안 수정 사항이 포함되었다.

깃랩은 취약점의 심각성을 염두에 두고 모든 깃랩 설치사항을 최대한 빨리 최신 버전으로 설치할 것을 강력히 권고했다. 깃랩 공식 웹사이트는 이미 패치 작업이 완료된 버전을 실행한다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
You Need to Update Windows and Chrome Right Now