By KATE O'FLAHERTY, WIRED UK

7월 한 달간 중요한 보안 업데이트가 이루어졌다. 주요 업데이트 사항 중에는 이미 악용 사례가 보고된 마이크로소프트와 구글 제품 취약점 패치 작업이 포함되었다. 7월에는 애플 iOS가 8주 만에 첫 번째 업데이트를 통해 아이폰과 아이패드의 보안 결함 수십 개를 수정했다.

보안 취약점은 엔터프라이스 제품에도 피해를 주었다. 7월에는 SAP와 시스코(Cisco), 오라클(Oracle) 소프트웨어 등이 업데이트를 배포했다. 7월 한 달간 수정된 취약점을 아래와 같이 전달한다.

애플 iOS 15.6
애플은 iOS 15.6, 아이패드OS 15.6의 CVE-2022-32832로 분류된 애플 파일 시스템(APFS) 문제를 포함한 보안 결함 37가지를 수정했다. 애플은 지원 페이지를 통해 iOS 15.6과 아이패드OS 15.6로 수정한 결함은 앱이 커널 특권을 이용해 코드를 실행해, 해커 세력의 기기 접근 범위가 확장될 수 있다고 설명했다.

iOS 15.6 패치로 수정한 다른 취약점은 커널과 웹킷(WebKit) 브라우저 엔진, IOMobileFrameBuffer, 오디오, 아이클라우드 포토 라이브러리, ImageIO, 애플 뉴럴 엔진, GPU 드라이버 등과 관련이 있다.

애플은 패치 작업을 마친 결함의 사이버 공격 악용 사례를 인지하지 못했으나 일부 취약점은 매우 심각한 것으로 드러났다. 특히, 운영체제의 중심에서 커널에 지장을 줄 수 있는 취약점의 위험성이 매우 크다. 또한, 애플이 발견한 여러 취약점을 서로 연결하여 공격을 개시할 수도 있으므로 최대한 빨리 업데이트해야 한다.

iOS 15.6 패치는 워치OS 8.7, tvOS 15.6, 맥OS 몬테레이(macOS Monterey) 12.5, 맥OS 빅서 11.6.8, 맥OS 카탈리나(macOS Catalina) 10.15.7 2022-005과 함께 배포되었다.

구글 크롬
구글은 7월, 크롬 브라우저에 긴급 패치를 배포하여 이미 악용 사례가 발생한 제로데이 결함을 포함한 문제 총 4가지를 수정했다. 사이버 보안 기업 아바스트 위협 인텔리전스(Avast Threat Intelligence)가 보고한 취약점 CVE-2022-2294는 웹RTC(WebRTC) 내부 메모리 손상 취약점이며, 크롬의 렌더러 과정에서 셸코드 실행 달성 의도로 악용되었다.

CVE-2022-2294는 레바논 기자를 포함한 중동의 아바스트 사용자 여러 명이 보고하면서 알려진 특정 대상을 겨냥한 스파이웨어 ‘데빌스통(DevilsTongue)’ 공격에 동원되었다.

아바스트는 공격 개시 과정에 동원된 멀웨어와 전략을 바탕으로 여러 국가 정부에 스파이웨어를 판매하는 이스라엘 기업 칸디루(Candiru)를 이용한 결과, 데빌스통 공격이 등장했다고 보았다.
 
마이크로소프트 패치 화요일
마이크로소프트의 7월 패치 화요일은 이미 실제 공격에 악용된 취약점을 포함한 총 84가지 보안 문제를 수정한 중요한 업데이트가 진행됐다. 마이크로소프트가 수정한 취약점 중 CVE-2022-22047은 윈도 클라이언트/서버 런타임 서브시스템(CSRSS) 서버와 윈도11 및 윈도 서버 2022의 클라이언트 윈도 플랫폼의 로컬 특권 강화 결함이다. 마이크로소프트는 해커가 CVE-2022-22047을 악용해, 시스템 특권을 얻을 수 있다고 설명했다.

마이크로소프트가 패치 화요일로 다룬 보안 문제 총 84개 중 52개는 특권 강화 결함으로 드러났다. 4개는 보안 기능 우회 취약점이며, 12개는 원격 코드 실행 취약점이다.

마이크로소프트 보안 패치가 간혹 몇 가지 문제를 일으키는 사례가 있다. 이번 7월 업데이트도 예외는 아니다. 7월 패치 화요일로 보안 업데이트 사항 배포 후 일부 사용자는 마이크로소프트 액세스 런타임 애플리케이션을 실행할 수 없다는 문제를 보고했다. 다행히도 마이크로소프트는 런타임 문제 수정사항도 배포했다.

안드로이드 7월 보안 공고
구글은 안드로이드 운영체제 업데이트를 배포했다. 7월 업데이트 사항에는 추가 특권이 없어도 원격 코드 실행을 할 수 있는 시스템 구성요소의 중대한 보안 취약점이 포함되었다.

구글은 정보 공개 피해로 이어질 수 있는 커널의 중대한 보안 문제와 로컬 특권 강화 원인이 될 수 있는 프레임워크의 취약점도 수정했다. 반면, 미디어텍과 퀄컴, Unisoc 등의 칩을 사용한다면, 특정 공급사 전용 패치 업데이트도 가능하다. 삼성 기기는 7월 업데이트를 받기 시작했으며, 구글도 픽셀 스마트폰에 업데이트를 배포했다.

SAP
소프트웨어 개발사 SAP는 7월 보안 패치의 날(July Security Patch Day)을 맞이해 보안 주의사항 27종을 대상으로 새로이 업데이트를 진행했다. 7월 업데이트로 몇 가지 심각성이 높은 취약점을 수정했다. SAP가 수정한 취약점 중 가장 심각한 취약점인 CVE-2022-35228은 SAP의 비즈니스 오브젝트(Business Objects) 플랫폼의 중앙 관리 콘솔에 포함된 정보 공개 결함이다.

사이버 보안 기업 온앱시스(Onapsis)의 설명과 같이 CVE-2022-35228은 인증되지 않은 공격자가 네트워크를 통해 토큰 정보를 손에 넣을 수 있다. 온앱시스는 “다행히도 CVE-2022-35228 악용 공격은 정상적으로 인증된 사용자의 애플리케이션 접근 이후에 발생할 수 있다”라고 덧붙여 전했다. 그러나 최대한 빠른 패치 작업이 중요하다.

오라클
오라클은 2022년 7월 중대한 패치 업데이트를 통해 총 349가지 패치를 배포했다. 이번 패치 배포 사항 중에는 원격 공격에 악용될 수 있는 230가지 결함이 포함되었다.

오라클은 4월 보안 업데이트를 통해 스프링4셸(Spring4Shell)이라고도 알려진 스프링 프레임워크 내 원격 코드 실행 취약점인 CVE-2022-22965 일부를 포함한 520가지 보안 문제를 수정했다. 오라클은 7월 업데이트로도 스프링4셸 문제점을 추가로 수정했다.

보안 기업 테너블(Tenable)에 따르면, 오라클의 7월 패치 업데이트 사항이 가장 많은 제품은 총 59가지 보안 문제를 다룬 오라클 금융 서비스 애플리케이션(Financial Services Applications) 제품군이다. 금융 서비스 애플리케이션의 패치 업데이트 사항은 오라클 7월 전체 패치 업데이트 사항의 17%를 차지한다. 그 뒤를 이어 오라클 커뮤니케이션(Oracle Communications)이 총 56가지 패치와 함께 오라클의 7월 전체 패치 수정률 16%를 기록했다.

오라클은 실제 피해가 발생한 공격 때문에 발생한 위협 때문에 7월 보안 패치를 최대한 빨리 적용할 것을 ‘강력히 권고’한다.

시스코
소프트웨어 공급사 시스코는 시스코 넥서스 대시보드(Cisco Nexus Dashboard)의 취약점 여러 개를 수정했다. 7월 업데이트로 수정한 시스코 넥서스 대시보드 취약점은 임의 명령 실행과 컨테이너 이미지 파일 읽기 혹은 게재, 여러 웹사이트에서의 복제 공격 요청 수행 등과 같은 문제를 일으킬 수 있다.

보안 위험성 점수 10점 만점 기준 9.8점으로 중대한 보안 위험성으로 분류된 CVE-2022-20857은 인증되지 않은 원격 공격 세력이 피해 발생 기기에서 크로스사이트 복제 공격을 개시할 수 있는 최악의 취약점 중 하나이다.

소닉월
소닉월(SonicWall)은 중대한 SQL 주입 버그 수정을 위한 패치 배포 직후 사용자에게 바로 업데이트 사항을 적용하도록 촉구했다. 보안 위험성 점수 10점 만점 기준 9.4점인 CVE-2022-22280 취약점은 아직 실제 공격에 동원된 사례는 없는 것으로 알려졌으나 심각한 문제이다. 소닉월은 보안 심각성을 염두에 두고 사용자에게 GMS 9.3.1-SP2-Hotfix-2와 Analytics 2.5.0.3-Hotfix-1 업데이트를 권고한다.

아틀라시안
아틀라시안은 6월 보안 패치 직후 7월에도 또 다른 중요한 보안 수정사항을 배포했다. 7월에 배포한 보안 수정사항은 컨플루언스(Confluence)와 지라(Jira), 뱀부(Bamboo), 피시아이(Fisheye), 크루시블(Crucible), 비트버켓(Bitbucket) 사용자에게 피해를 줄 위험성이 있는 중대한 취약점을 다루었다.

CVE-2022-26136 취약점은 아틀라시안의 여러 제품에서 인증되지 않은 원격 공격자가 퍼스트 파티 앱과 서드파티 앱을 악용해 서브렛 필터(Servlet Filters)를 우회할 수 있다. 결과적으로 인증 우회와 크로스사이트 스크립팅 문제를 일으킬 수 있다.

아틀라시안이 다룬 중대한 두 번째 취약점인 CVE-2022-26137은 아틀라시안의 여러 제품에서 발견된 교차 출처 자원 공유 우회 취약점이다. 인증되지 않은 원격 공격자가 애플리케이션 처리 과정 요청 시 추가 서브릿 필터 문제를 일으킬 수 있는 취약점이다.

반면, 아틀라시안이 7월 보안 패치로 다룬 또 다른 취약점인 CVE-2022-26138은 인증되지 않은 원격 공격자가 하드코드 패스워드를 알고 있을 때, 컨플루언스에 로그인하고 사용자 그룹의 사용자가 다룰 수 있는 모든 콘텐츠에 접근할 수 있는 취약점이다.

만약, 취약점으로 피해가 발생한 기기를 사용 중이라면, 즉시 업데이트해야 한다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Apple Just Patched 37 iPhone Security Bugs