By KATE O'FLAHERTY, WIRED UK

2023년 2월도 애플과 마이크로소프트, 구글의 심각한 취약점 수정 패치 작업 배포와 함께 중대한 보안 업데이트가 진행됐다. 또한, VM웨어(VMware), SAP, 시트릭스(Citrix) 등 일부 기업도 엔터프라이스 버그를 수정했다.

2월 한 달간 수정한 결함 중에는 실제 사이버 공격에 악용된 취약점도 몇 가지 포함되었다. 따라서 현재 사용 중인 소프트웨어의 최신 업데이트 여부를 확인하는 것이 좋다.

2023년 2월 보안 업데이트와 관련하여 알아야 할 모든 정보를 아래와 같이 전달한다.

애플 iOS 16.3.1, 아이패드OS 16.3.1
애플은 iOS 16.3 배포 후 단 몇 주 뒤 iOS 16.3.1과 아이패드OS 16.3.1을 배포했다. 모두 이미 사이버 공격에 악용된 브라우저 엔진 웹킷(Webkit) 결함을 포함한 취약점을 수정한 긴급 패치가 적용되었다.

이미 사이버 공격에 악용된 취약점인 CVE-2023-23529은 임의 코드 실행 공격으로 이어질 수 있으며, 애플은 지원 페이지를 통해 경고했다. 애플은 “CVE-2023-23529이 널리 악용되었다는 보고 내용을 인지하고 있다”라고 밝혔다. 아이패드OS 16.3.1에 반영된 또 다른 결함 패치 사항은 아이폰 운영체제의 핵심인 커널(Kernel)에 있다. CVE-2023-23514로 분류된 해당 취약점은 사이버 공격 세력이 커널 권한을 손에 넣고 임의 코드 실행을 하는 데 악용될 수 있다.

2023년 5월 하반기에는 iOS 16.3.1의 또 다른 취약점인 CVE-2023-23524 수정 사항을 상술한 보고서가 발행됐다. 구글 소프트웨어 엔지니어 데이비드 벤자민(David Benjamin)이 발행한 해당 보고서는 CVE-2023-23524가 악의적으로 제작된 인증서를 통한 서비스 거부(DoS) 공격을 개시할 수 있다고 설명했다.

이 외에도 애플은 맥OS 벤투라 13.2.1, tvOS 16.3.2, 워치OS 9.3.1도 배포했다.

마이크로소프트
2023년 2월 중순, 마이크로소프트는 패치 화요일(Patch Tuesday)에 보안 취약점 76개를 수정했다고 발표했다. 그중 3개는 이미 사이버 공격에 동원되었다. 마이크로소프트 업데이트 가이드는 7개는 결함 수준이 ‘심각함’으로 분류되었다고 전했다.

CVE-2023-21823로 분류된 해당 취약점은 윈도 그래픽 구성요소에서 이미 악용된 가장 심각한 보안 버그 중 하나이며, 해커 세력이 시스템 권한을 얻도록 할 수 있다.

마이크로소프트가 발견한 결함 중 이미 사이버 공격에 널리 악용된 또 다른 취약점인 CVE-2023-21715는 마이크로소프트 퍼블리셔(Microsoft Publisher)에서 발견된 기능 우회 문제이다. 또한, 윈도 공용 로그 파일 시스템 드라이버에서 권한을 강화하는 취약점인 CVE-2023-23376이다.

2월 업데이트 배포 사항에는 제로데이 수정 사항 여러 개가 포함됐다. 따라서 마이크로소프트 기본 시스템을 최대한 빨리 업데이트해야 한다.

구글 안드로이드
2월에는 안드로이드도 구글의 스마트폰 소프트웨어를 실행하는 기기의 여러 보안 취약점을 수정하고, 보안 업데이트를 배포했다. 구글의 공식 웹사이트에 게재된 바에 따르면, 안드로이드에서 발견된 가장 심각한 보안 문제는 별도의 추가 권한이 필요하지 않은 상태에서 로컬 권한 강화가 발생할 수 있는 프레임워크(Framework) 구성요소 취약점이다.

구글이 수정한 프레임워크 취약점 8개는 영향이 큰 것으로 분류되었다. 반면, 구글은 시스템과 미디어텍, Unisoc 구성요소 결함과 함께 커널 버그 6개도 수정했다.

구글은 2월 한 달간 정보 공개와 서비스 거부 취약점은 물론이고, 다양한 권한 강화 결함을 대상으로 패치 작업을 진행했다. 또한, 픽셀 기기에서만 발생한 보안 문제 3가지도 수정했다. 안드로이드 2월 패치는 이미 구글 픽셀 기기에 배포되었다. 삼성은 재빨리 갤럭시 노트 20 시리즈 사용자를 대상으로 업데이트 사항을 배포했다.
 
구글 크롬
구글은 브라우저의 크롬 110을 배포하면서 보안 취약점 15개를 수정했다. 그중 3개는 보안 영향이 큰 것으로 분류됐다. 구글은 보안 자문 글을 통해 CVE-2023-0696로 알려진 취약점은 V8 자바스크립트 엔진의 입력 버그라고 설명했다.

CVE-2023-0697은 전체 화면 모드의 부적절한 기능 시행을 허용할 수 있는 보안 결함이다. CVE-2023-0698는 WebRTC의 무제한 읽기 결함이다. 보안 심각성 수준이 중간 수준인 취약점 4개 중에는 GPU의 프로그램 실행 도중 부적절한 메모리 사용과 WebUI의 힙 버퍼 오버플로, 데이터 전송(Data Transfer)의 입력 혼란 취약점 등이다. 보안 영향 수준이 낮은 결함 2개도 발견됐다.

2월 크롬 패치 적용 사항 중 널리 알려진 제로데이 취약점은 없다. 그러나 최대한 빨리 구글 소프트웨어 업데이트를 마치는 것이 좋다.

파이어폭스
모질라가 프라이버시를 우선순위로 내세워 크롬의 대항마로 내놓은 브라우저인 파이어폭스는 2월 한 달간 보안 영향이 큰 것으로 분류된 결함 10가지를 수정했다. CVE-2023-25730는 브라우저 전체 모드를 이용한 화면 탈취 취약점이다. 모질라는 “백그라운드 스크립트로 requestFullscreen를 언급한 뒤 메인 스레드를 차단하여 브라우저가 전체 화면 모드를 무제한으로 생성하도록 한다. 결과적으로 사용자의 혼란을 유발하거나 스푸핑(spoofing) 공격을 개시할 수 있다”라고 경고했다.

또한, 모질라 개발자는 파이어폭스 110의 메모리 세이프티 버그 몇 가지를 수정했다. 모질라는 “일부 버그는 메모리 파괴 증거를 제시했으며, 모질라는 충분한 노력과 함께 일부 취약점을 임의 코드 실행 시 악용할 수 있다”라고 설명했다.

VM웨어
엔터프라이스 소프트웨어 제조사 VM웨어는 VM웨어 카본 블랙 앱 컨트롤(VMware Carbon Black App Control)에 영향을 미칠 수 있는 주입 취약점을 수정한 패치를 배포했다. CVE-2023-20858로 알려진 해당 결함은 CVSSv3 기본 점수 최고 9.1점으로, 보안 영향이 심각하다는 평가를 받았다. VM웨어는 “앱 컨트롤 관리자 콘솔 접근 권한을 손에 넣은 해커가 특수 설계된 입력 값을 이용해 기본 서버 운영체제 접근을 허용할 수도 있다”라고 설명했다.

VM웨어의 패치 배포 대상이 된 또 다른 취약점은 VM웨어 VMware vRealize Orchestrator에 영향을 미칠 수 있는 XXE(XML External Entity) 취약점이다. CVE-2023-20855로 알려진 해당 결함은 중요한 결함으로 분류됐으며, CVSSv3 기본 점수는 최고 8.8점이다.

시트릭스
2월에는 시트릭스도 보안 패치 배포 작업으로 분주했다. 시트릭스는 몇 가지 심각한 보안 취약점을 수정한 패치를 배포했다. 해당 취약점 중에는 시트릭스 버추얼 앱 및 데스크톱 윈도 VDA(Citrix Virtual Apps and Desktops Windows VDA)에 영향을 미친 취약점인 CVE-2023-24483가 포함됐다. 시트릭스는 보안 조언 게시글을 통해 “CVE-2023-24483는 악용 시 로컬 사용자가 시트릭스 버추얼 앱 및 데스크톱 윈도 VDA의 NT AUTHORITY\SYSTEM로 권한을 강화할 수 있다”라고 설명했다.

반면, 시트릭스는 같이 이용할 때, 표준 윈도 사용자가 시트릭스 워크스페이스(Citrix Workspace)를 실행하는 컴퓨터에서 시스템으로 운영할 수 있는 취약점인 CVE-2023-24484와 CVE-2023-24485도 발견했다.

시트릭스 워크스페이스 리눅스 앱에서는 CVE-2023-24486라는 취약점을 발견했다. 해당 취약점은 악성 로컬 사용자가 다른 사용자의 시트릭스 버추얼 앱 및 데스크톱 세션 접근 권한을 손에 넣는 데 악용될 수 있다.

시트릭스 사용자라면, 보안 문제가 발생한 시스템 패치 적용 확인은 필수이다.

SAP
SAP는 2월 패치 데이(February Patch Day)에 보안 우선순위가 높은 것으로 분류된 5가지 결함을 포함하여 총 21가지 신규 보안 노트를 발행했다. 새로 패치 작업이 진행된 결함 중 가장 심각한 취약점인 CVE-2023-24523는 SAP 스타트 서비스(SAP Start Service)에서 발견된 권한 강화 취약점이다. CVSS 점수는 8.8점이다.

보안 기업 오냅시스(Onapsis)의 경고에 따르면, CVE-2023-24523 악용 시 관리자가 아니지만, 인증된 사용자 중 SAP 호스트 에이전트 서비스(SAP Host Agent Service)에 부여된 서버 포트로 로컬 접근 권한이 있는 이가 임의 운영체제 명령으로 특수 조작된 웹 서비스 요청을 제출할 수 있다. 관리자 권한 실행 후 시스템 기밀성과 무결성, 가용성 등에 영향을 미칠 수 있다.

우선순위 등급이 높은 것으로 분류된 취약점 나머지 두 개는 SAP 비즈니스오브젝트(SAP BusinessObjects) 고객에게도 피해를 줄 수 있다. 따라서 SAP의 소프트웨어를 사용 중이라면, 최대한 빨리 패치를 적용해야 한다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Apple Users Need to Update iOS Now to Patch Serious Flaws