2022년 연말 연휴가 끝났다. 그리고 2022년 12월, 강력한 보안 취약점을 수정한 보안 패치가 신속하게 배포됐다. 12월에는 애플, 구글, 마이크로소프트는 물론이고 SAP와 시트릭스(Citrix), VM웨어(VMWare) 등 엔터프라이스 소프트웨어 기업이 보안 업데이트를 배포했다.
12월 패치 작업으로 수정한 제로데이 취약점 상당수가 이미 사이버 공격에 악용됐다. 12월 보안 패치를 즉시 적용하는 것이 중요한 이유이다. 2022년 12월 배포된 모든 보안 패치 배포 사항이라는 유쾌하지 않은 정보를 아래와 같이 전달한다.
애플 iOS 16.2, 아이패드OS 16.2, iOS 15.7.2, iOS 16.1.2
애플은 12월, iOS 16 운영체제와 관련하여 주요 업그레이드 사항을 배포했다. 애플의 12월 주요 보안 업데이트 적용 대상은 바로 iOS 16.2이다. iOS 16.2 업데이트 사항은 아이클라우드의 단대단 암호화 기능을 추가한다. 그러나 보안 취약점 35가지를 수정하기도 했다.
iOS 16.2로 수정한 보안 취약점 중 공격에 악용된 것으로 알려진 취약점은 없다. 그러나 대부분 심각한 취약점이다. iOS 16.2의 취약점 중에는 커널(Kernel) 취약점 6개와 애플 사파리 브라우저 성능을 지원하는 웹킷(WebKit)의 취약점 9개가 포함됐다. 웹킷 취약점은 코드 실행 공격에 동원될 위험성이 있다.
애플은 iOS 16 업그레이드를 할 수 없는 구형 아이폰 기기 사용자를 위해 iOS 15.7.2 보안 패치도 배포하며, 이미 공격에 악용된 취약점을 수정했다. 애플 지원 페이지에 안내된 바와 같이 CVE-2022-42856로 알려진 웹킷 취약점은 코드 실행에 악용될 수 있다. 2022년 11월 말, 애플은 iOS 16.1.2 버전 보안 패치 배포 시 똑같은 웹킷 결함 수정 사항을 반영했다.
2022년 9월, iOS 16 출시 후 애플은 운영체제 업그레이드를 원하지 않는 사용자를 위한 보안 업데이트 사항을 꾸준히 지원했다. 그러나 iOS 15.7.2는 구형 아이폰에만 보안 업데이트를 적용했다. 따라서 아이폰 8 이상 모델을 사용한다면, iOS 16으로 업데이트해 보안을 강화해야 한다.
애플은 맥OS 벤투라 13.1과 워치OS 9.2, tvOS 16.2, 맥OS 빅서 11.7.2, 맥OS 몬테레이 12.6.2, 사파리 16.2 보안 패치도 배포했다.
구글 안드로이드
2022년 12월은 구글 안드로이드 운영체제의 대규모 보안 패치 배포의 달이었다. 구글이 12월 한 달간 배포한 보안 취약점 수정 사항은 수십 개에 이른다. 그중 가장 심각한 보안 취약점이자 CVE-2022-20411로 분류된 보안 취약점은 시스템 구성요소에서 발견된 중대한 취약점이다. 구글이 보안 공고를 통해 경고한 바와 같이 블루투스나 추가 실행 권한 없이도 원격 코드 실행 공격으로 이어질 수 있다.
또, 구글은 안드로이드 프레임워크 구성요소에서 발견된 중대한 결함인 CVE-2022-20472와 CVE-2022-20473도 수정했다. 또, 픽셀 기기에서만 발견된 버그 151개도 수정했다.
구글의 12월 패치는 픽셀 기기와 삼성의 플래그십 제품인 갤럭시 라인업을 포함한 삼성 스마트폰에도 적용할 수 있다.
구글 크롬 108
구글은 크롬 브라우저에 긴급 보안 업데이트를 배포해, 제로데이 취약점 9개를 수정했다. 위험성이 높은 취약점인 CVE-2022-4262는 크롬의 V8 자바스크립트 엔진의 복잡한 문제가 원격 공격 개시자의 자체 개발 HTML 페이지를 통한 힙 커럽션(heap corruption)이라는 오류를 일으키는 결과로 이어질 수 있다. 구글은 블로그를 통해 “CVE-2022-4262가 널리 존재한 것을 인지했다”라고 밝혔다.
구글은 크롬 108 배포 후 단 며칠 만에 배포한 긴급 업데이트 사항으로 보안 결함 28가지를 수정했다. 수정 사항 중에는 V8의 타입 컨퓨전(type confusion) 결함인 CVE-2022-4174를 포함한 몇 가지 동적 메모리의 부적절한 사용과 관련된 UAF(use-after-free) 버그 여러 개가 포함되었다. 구글은 해당 결함이 지금까지 사이버 공격에 동원된 사례는 없다고 밝혔다. 그러나 가장 최근 등장한 버그가 이미 공격자의 손에 들어간 사실을 고려하면, 크롬을 즉시 업데이트하는 것이 좋다.
[사진=Freepik]
마이크로소프트 패치 화요일
마이크로소프트의 12월 패치 화요일(Patch Tuesday)은 또 다른 중대한 보안 업데이트를 진행했다. 마이크로소프트는 실제 공격에 악용된 몇 가지 결함을 포함해 보안 취약점 49개를 수정했다. CVE-2022-44698라고 알려진 취약점은 윈도 스마트스크린(Windows SmartScreen) 보안 기능을 우회하는 문제를 일으킨다. 결과적으로 무결성과 활용 가능성 상실 원인이 될 수도 있는 취약점이다.
마이크로소프트는 “사이버 공격 세력이 MOTW 보안 방어를 우회하는 악성 파일을 생성해, 한정된 범위에서 MOTW 태깅에 의존하는 마이크로소프트 오피스의 프로텍티드 뷰(Protected View)를 포함한 보안 기능 무결성과 활용 가능성 상실 원인이 될 수 있다”라고 경고했다.
마이크로소프트가 패치 배포 시 반영한 또 다른 심각한 결함은 DirectX 그래픽 커널의 권한 강화 취약점인 CVE-2022-44710이다. 이를 악용한 공격에 성공한다면, 사이버 공격 세력이 시스템 권한을 손에 넣을 수 있다.
마이크로소프트가 패치를 배포한 취약점 중 6개는 위험성이 심각한 원격 코드 실행 결함이므로 지금 당장 업데이트를 마쳐야 한다.
그러나 12월 패치 화요일 업데이트 후 윈도 10 사용자 사이에서 문제 보고가 이어졌다는 점에도 주목할 필요가 있다. 보안 업데이트 후 윈도 10의 문제를 우회할 수 있으나 마이크로소프트는 추가 업데이트로 문제를 해결하겠다고 약속했다.
시트릭스
소프트웨어 개발사 시트릭스는 사이버 공격에 악용된 사실을 밝히며, 결함 수정과 함께 긴급 패치를 배포했다. 시트릭스는 보안 공고를 통해 시트릭스 게이트웨이(Citrix Gateway)와 시트릭스 ADC(Citrix ADC)에서 발견된 결함인 CVE-2022-27518은 원격 공격 세력이 기기에서 임의 코드를 실행할 수 있다고 전했다. 시트릭스는 “CVE-2022-27518 악용 사례가 여러 기기에 걸쳐 널리 보고되었다”라고 밝혔다.
시트릭스는 보안 문제가 발생한 시트릭스 게이트웨이와 시트릭스 ADC 고객에게 즉시 관련 업데이트 버전을 설치하도록 강력히 촉구했다.
미국 국가안전보장국(NSA)은 시트릭스의 보안 취약점이 키홀 판다(Keyhole Panda), 망가니즈(Manganese)라고도 알려진 중국 해커 조직인 APT5 소행이라고 발표했다. NSA는 APT5가 이동통신사와 첨단 기술 제조사, 군사 애플리케이션 기술 개발사 등을 겨냥했다고 보았다. 또, 보안 피해 징조를 감지한 기관을 돕기 위한 위협 퇴치 지침(Threat Hunting Guidance)을 발행했다.
포티넷
보안 공급사 포티넷(Fortinet)은 FortiOS SSL-VPN에서 발견된 힙 기반 버퍼 오버플로(buffer overflow) 관련 보안 패치를 배포했다. 해당 취약점은 원격 공격 개시 세력이 특수 제작된 요청으로 임의 코드를 실행하거나 명령을 내리는 데 악용될 수 있다. CVE-2022-42475로 알려진 해당 취약점의 보안 위험성 점수는 10점 만점 기준 9.3점이며, 이미 사이버 공격에 동원되었다.
포티넷은 “CVE-2022-42475이 널리 악용된 사실을 인지했다. 이에, 즉시 시스템을 검증할 것을 권고한다”라고 전했다. 또한, 기관의 보안 침해를 시사하는 일부 징조를 공개하여 추가 보안 검증을 하도록 안내했다.
VM웨어
소프트웨어 공급 업계 대기업인 VM웨어는 VM웨어 ESXi와 워크스테이션, 퓨전(Fusion) 등의 USB 2.0 컨트롤러(EHCI)에서 발견된 힙 아웃 오브 바운드 라이트(out-of-bounds write) 취약점을 퇴치했다. CVE-2022-31705로 분류돼, 보안 위험성 점수 9.3점인 해당 취약점은 GeekPwn 2022 해킹 당시 보안 연구원 여러 명이 이용한 취약점이기도 하다.
VM웨어는 vRealize 네트워크 인사이트(vRealize Network Insight) 제품의 명령 주입 취약점과 디렉토리 직접 객체 참조 취약점인 CVE-2022-31702와 CVE-2022-31703도 수정했다. CVE-2022-31702 악용 시 vRNI REST API 네트워크에 접근한 공격자가 인증을 마치지 않고도 명령을 실행할 수 있다.
VM웨어는 CVE-2022-31702의 보안 위험성 점수를 최대 9.8점으로 평가할 수 있다고 밝혔다. CVE-2022-31703의 보안 위험성 점수는 7.5점이며, vRNI REST API 네트워크에 접근한 공격자가 서버의 임이 파일을 읽는 데 악용될 수 있다.
SAP
SAP의 12월 보안 패치의 날(Security Patch Day)은 20가지 보안 결함 수정 사항을 새로 적용하거나 업데이트했다. SAP가 12월 수정한 보안 결함 중 가장 심각한 보안 결함은 SAP 비즈니스오브젝트(SAP BusinessObjects)의 서버측 요청 위조 취약점이며, 보안 위험성 점수 9.9점이다.
보안 기업 오냅시스(Onapsis)는 “일반 BI 사용 권한을 지닌 공격자는 운영체제 단계에서 비즈니스오브젝트 서버의 파일 무엇이든 게재하고 교체할 수 있다. 공격자가 시스템 전체를 장악하고는 애플리케이션 기밀 유지 수준과 무결성, 활용성 등에 큰 영향을 미칠 수 있다”라고 설명했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202301/4465_5872_851.jpg)
뉴스레터 신청