By KATE O'FLAHERTY, WIRED UK

9월에도 마이크로소프트와 구글, 애플 등 테크 업계 대기업이 심각한 보안 취약점 여러 개를 수정한 업데이트 사항을 배포했다. 9월 내내 패치 작업이 진행된 결함 다수는 이미 해커 세력의 악용 사례가 보고돼, 즉시 기기를 확인하고 업데이트해야 한다.

9월 배포된 주요 업데이트 사항을 아래와 같이 전달한다.

애플 iOS
9월, 애플이 아이폰 신제품을 출시함과 동시에 iOS 16 업데이트를 진행했다. 애플은 9월 초, iOS 15.7과 함께 iOS 16을 배포했다. 아이폰 사용자 대부분 iOS 16 업데이트를 완료할 때까지 더 오래 기다려야 할 것이다.

iOS 16으로 업데이트하지 않는다면, iOS 15.7을 적용하는 것이 중요하다. iOS 16과 iOS 15.7이 같은 보안 결함 11개 수정사항을 공통으로 적용했기 때문이다. 그중 하나는 실제 사이버 공격에 동원됐다.

이미 사이버 공격에 악용된 취약점인 CVE-2022-32917은 사이버 공격 세력이 코드 실행에 악용할 수 있는 커널 문제이다.

9월 말, 애플은 iOS 16.0.1을 배포해, 아이폰14에서 새로 발견된 버그 몇 가지를 수정했다. 또한, iOS 16의 버그 몇 가지를 수정하려 iOS 16.0.2를 추가로 배포했다. 애플은 iOS 16.0.2가 중대한 보안 업데이트 사항을 적용했다고 밝혔다. 그러나 위험성이 큰 취약점을 구분하는 CVE 번호는 아직 공개되지 않았다.

애플은 아이패드OS 15.7과 맥OS 빅서 11.7, 맥OS 몬테레이 12.6, tvOS 16, 워치OS 9 등을 배포했다. 애플워치 울트라에는 워치OS 9.0.1도 배포했다.

구글 크롬
구글은 9월 한 달간 크롬 업데이트 사항을 적용하느라 분주했다. 업데이트 사항은 사이버 공격 악용 사례가 발견된 제로데이 문제를 다룬 긴급 수정사항 배포부터 시작한다. CVE-2022-3075로 알려진 취약점은 구글이 8월 말, 발견 직후 즉시 문제를 수정하려 서둘러 나설 정도로 매우 심각한 문제이다.

구글은 CVE-2022-3075를 자세히 설명하지 않았으나 런타임 라이브러리 모조(Mojo)의 데이터 검증 작업이 부족한 것과 관련이 있다고 알려졌다. 해커 세력 사이에서 취약점의 상세한 문제점이 널리 알려지기 전 많은 사용자가 업데이트 사항을 적용할 수 있다.

구글은 9월 중순, 심각성 점수 10점 만점 기준 7점인 취약점을 포함한 보안 취약점 11종을 수정한 업데이트 사항도 배포했다. 그리고 9월 말, 크롬106(Chrome 106)을 배포해, 보안 결함 20개를 수정했다. 그중 5개는 심각성이 높은 것으로 확인됐다. 가장 심각한 취약점 중에는 CSS의 부적절한 메모리 사용 문제가 된 CVE-2022-3304와 미디어의 부적절한 메모리 사용 문제를 일으키는 CVE-2022-3307이 포함되었다.

구글 안드로이드
9월, 구글은 안드로이드 보안 고시(Android Security Bulletin)를 통해 위험성 등급이 높은 취약점부터 매우 중대한 취약점까지 다양한 문제를 상세히 수정한 업데이트 사항을 배포했다. 9월 수정 사항 중에는 커널 결함과 안드로이드 프레임워크(Android Framework), 시스템 구성요소 결함 등이 있다.

이후 구글 픽셀 시리즈에는 중대한 보안 취약점인 CVE-2022-20231과 CVE-2022-20364의 문제를 수정한 추가 업데이트 사항을 배포했다. 두 가지 취약점 모두 해커 세력이 권한 강화를 하는 데 악용할 수 있다.

삼성 갤럭시 시리즈 기기 대부분 이미 9월 패치 작업이 적용되었을 것이다. 삼성 갤럭시 시리즈는 삼성 자체 특별 업데이트 사항도 함께 설치되었다.

구글이 패치로 다룬 문제 중 사이버 공격 악용 보고 사례는 없다. 그러나 업데이트가 가능하다면, 최대한 빨리 적용하는 것이 좋다.

마이크로소프트
마이크로소프트 패치 화요일(Microsoft Patch Tuesday)은 사이버 공격에 악용된 결함을 수정했다는 점에서 중요하다. CVE-2022-37969로 분류된 마이크로소프트의 제로데이 취약점은 해커 세력이 피해자의 기기를 통제하도록 하는 윈도 공통 로그 파일 시스템 드라이버(Windows Common Log File System Driver)의 권한 강화 문제를 일으킬 수 있다.

CVE-2022-37969는 마이크로소프트가 9월 한 달간 다룬 취약점 63개 중 하나이다. 마이크로소프트의 9월 패치 대상 중 5개는 보안 위험성이 심각한 것으로 확인됐다. 그중에는 취약점 위험성 점수 9.8점인 윈도 인터넷 키 익스체인지 프로토콜(IKE)의 원격 코드 실행 결함인 CVE-2022-34722와 CVE-2022-34721이 포함되었다.

마이크로소프트는 9월 말, 엔드포인트 구성 관리자(Endpoint Configuration Manager)의 감시 취약점인 CVE 2022 37972를 수정한 독립 채널 보안 업데이트 사항을 배포했다.
 
왓츠앱
암호화 메시지 서비스 왓츠앱은 9월, 원격 코드 실행으로 이어질 수 있는 보안 취약점 2개를 수정한 업데이트 사항을 배포했다. CVE-2022-36934는 안드로이드와 안드로이드 비즈니스, iOS, iOS 비즈니스의 왓츠앱 2.22.16.12 이전 버전의 정수 오버플로우 문제를 일으킨다. 결과적으로 화상 통화 기능의 원격 코드 실행 공격으로 이어질 수 있다.

안드로이드 왓츠앱 2.22.16.2 이전 버전과 iOS 왓츠앱 2.22.15.9 이전 버전의 정수 오버플로우 취약점인 CVE-2022-27492는 제작된 영상 파일 수신자를 대상의 원격 코드 실행 공격 원인이 될 수 있다.

모두 배포된 지 한 달이 지났으므로 최신 버전을 사용하고 있다면, 크게 걱정하지 않아도 된다.

HP
HP는 모든 노트북의 사전 설치된 어시스턴트 툴 지원과 관련된 심각한 문제 몇 가지를 수정했다. HP 서포트 어시스턴트(HP Support Assistant)에서 발견된 권한 강화 버그는 보안 위험성 등급이 높으며, CVE-2022-38395로 알려졌다.

HP는 자체 지원 페이지를 통해 CVE-2022-38395의 문제를 상세히 설명했다. 그러나 CVE-2022-38395의 문제가 발생한 기기 모두 즉각 업데이트해야 한다는 언급은 없다.

SAP
SAP의 9월 패치데이는 16가지 수정사항과 패치 업데이트 사항을 배포했다. 그중에는 SAP 비즈니스원(SAP Business One)과 SAP 비즈니스오브젝트(SAP BusinessObjects), SAP GRC의 보안 심각성이 높은 취약점 3개가 포함되었다.

Unquoted Service Path 취약점을 수정한 SAP 비즈니스원의 위험성이 가장 높다. 사이버 보안 기업 오냅시스(Onapsis)가 설명한 바와 같이 보안 수준이 취약한 서비스 실행 시작과 함께 해커 세력이 임의의 바이너리 파일을 실행하는 데 악용할 수 있기 때문이다. 결과적으로 시스템 권한을 강화하게 될 수도 있다.

SAP 비즈니스오브젝트의 수정 사항은 정보 공개 취약점 패치를 적용했다. 오냅시스 측은 공식 블로그를 통해 “특정 상황에서 SAP 비즈니스오브젝트 비즈니스 인텔리전스 플랫폼(SAP BusinessObjects Business Intelligence Platform)의 중앙 관리 콘솔(Central Management Console)에 포함된 암호화되지 않은 민감한 정보를 공개할 수도 있다”라고 경고했다.

세 번째로 위험성이 높은 취약점은 파이어파이터 로그온 패드(Firefighter Logon Pad)가 종료된 상태일 때도 SAP GRC 사용자가 인증된 해커의 파이어파이터(Firefighter) 세션을 허용할 수 있다.

시스코
소프트웨어 서비스 대기업 시스코는 SD-Wan vManage 소프트웨어 컨테이너의 바인딩 구성 내 보안 위험성이 높은 취약점을 수정했다. CVE-2022-20696로 알려진 해당 취약점은 VPN0 논리 네트워크에 접근한 인증되지 않은 해커가 피해 시스템의 메시지 서비스 포트에 접근하도록 한다.

시스코는 “CVE-2022-20696 악용 시 해커 세력이 메시지를 읽고, 메시지 서비스에 특정 메시지를 주입하도록 한다. 구성 변경이나 시스템 재실행 문제 원인이 될 수 있다”라고 경고했다.

소포스
보안 기업 소포스(Sophos)는 이미 악용 사례가 발생한 방화벽 제품의 원격 코드 실행 문제를 수정했다. CVE-2022-3236로 알려진 코드 주입 취약점은 소포스 방화벽의 유저 포털(User Portal)과 웹어드민(Webadmin) 등에서 발견됐다.

소포스는 “CVE-2022-3236이 남미 지역을 중심으로 소규모 특정 기관을 겨냥한 공격에 악용된 사례를 발견했다”라고 밝혔다.

워드프레스 게이트웨이 워드프레스 플러그인
워드프레스 플러그인 취약점인 AP 게이트웨이(AP Gateway)는 이미 사이버 공격에 악용됐다. CVE-2022-3180라고도 알려진 AP 게이트웨이는 해커 세력이 관리자 권한을 지닌 악성 사용자를 추가해, 플러그인을 실행하는 사이트를 관리하도록 하는 권한 강화 버그이다.

보안 연구 기관 워드펜스(Wordfence)의 수석 애널리스트 램 갈(Ram Gall)은 “AP 게이트웨이는 마구 악용된 제로데이 취약점이며, 해커 세력은 이를 악용할 메커니즘을 이미 인지했다. 따라서 모든 사용자를 위한 공개 패치 사항을 배포한다”라며, 추가 악용 사항을 막을 상세한 정보도 함께 전달했다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Go Update iOS, Chrome, and HP Computers to Fix Serious Flaws