2023년 4월, 애플, 마이크로소프트, 구글 등 테크 업계 대기업이 주요 보안 결함을 수정했다. 다수 결함이 이미 실제 공격에 동원된 것으로 알려졌다. 그 외에 패치를 배포한 기업 중에는 프라이버시 중심 브라우저인 파이어폭스와 엔터프라이스 소프트웨어 공급사 솔라윈즈(SolarWinds), 오라클(Oracle) 등이 있다.
2023년 4월 보안 패치 소식 중 알아두어야 할 사항을 아래와 같이 전달한다.
애플
애플은 iOS 16.4 배포 직후 이미 공격에 악용된 취약점 2가지를 수정하려 iOS 16.4.1 업데이트를 배포했다. CVE-2023-28206는 애플 지원 페이지에 설명된 바와 같이 커널 특권으로 코드 실행이 가능한 앱에서 발견할 수 있는 IOSurfaceAccelerator 내 문제이다.
CVE-2023-28205는 사파리 브라우저 기능 실행을 지원하는 엔진인 웹킷에서 임의 코드 실행으로 이어질 수 있는 문제이다. 애플은 패치 배포 대상이 된 두 가지 결함과 관련, “널리 악용된 문제 보고 사항을 인지하고 있다”라고 밝혔다.
사이버 보안 기업 소포스(Sophos) 소속 보안 연구원인 폴 더클린(Paul Ducklin)에 따르면, 애플이 발견한 버그는 함정이 설치된 웹사이트 방문 시 사이버 범죄 세력이 브라우저 통제 권한을 손에 넣도록 할 수 있다. 혹은 웹킷을 사용하는 앱이 HTML 콘텐츠를 생성하거나 게재할 수 있다.
iOS 16.4.1에서 수정된 결함은 구글 위협 분석 그룹(Threat Analysis Group) 국제 앰네스티의 보안 연구소가 보고한 결함이다. 이를 고려하면, 더클린 연구원은 애플이 수정한 보안 결함이 스파이웨어 설치에 악용됐을 가능성이 있다고 분석했다.
애플은 구형 아이폰 사용자를 위해 iOS 15.7.5에도 똑같이 악용된 보안 결함 패치를 배포했다. 한편, 애플은 맥OS 벤투라 13.3.1과 사파리 16.4.1, 맥OS 몬터레이 12.6.5, 맥OS 빅서 11.7.6에도 패치를 배포했다.
마이크로소프트
2023년 4월, 긴급 패치를 배포한 대기업은 애플만이 아니다. 마이크로소프트도 패치 화요일(Patch Tuesday) 업데이트를 통해 긴급 수정 사항을 배포했다. 마이크로소프트의 긴급 패치 배포 대상에 포함된 CVE-2023-28252는 윈도 커몬 로그 파일 시스템 드라이버(Windows Common Log File System Driver)에서 발견된 권한 강화 버그이다. 마이크로소프트가 보안 주의보를 통해 안내한 바와 같이 CVE-2023-28252를 악용한 해커는 시스템 권한을 손에 넣을 수 있다.
마이크로소프트의 패치 배포 대상 중 주목할 만한 또 다른 결함인 CVE-2023-21554는 중대한 영향을 미칠 수 있는 것으로 분류된 MSMQ(Microsoft Message Queuing) 내 원격 코드 실행 취약점이다. 이를 악용하려면, 해커는 MSMQ 서버에 악성 MSMQ 패킷을 전송해야 한다. 이때는 서버 측면에서 원격 코드 실행이라는 결과로 이어질 수 있다.
위에 언급된 두 가지 결함 수정사항은 마이크로소프트의 4월 패치 배포 사항에 포함된 98가지 결함 중 일부에 해당한다. 따라서 마이크로소프트의 보안 주의보를 확인하고, 최대한 빨리 업데이트하는 것이 중요하다.
[사진=Freepik]
구글 안드로이드
구글은 안드로이드 운영체제를 대상으로 여러 가지 패치를 배포하면서 몇 가지 심각한 보안 허점을 수정했다. 가장 심각한 버그는 구글이 안드로이드 보안 경고문을 통해 안내한 바와 같이 추가 실행 권한이 필요하지 않은 원격 코드 실행으로 이어질 수 있는 시스템 구성요소 내 중대한 보안 취약점이다. 결함 악용 시 사용자 상호작용은 필요하지 않다.
패치 배포 사항에는 프레임워크 내 10가지 결함이 포함되었다. 그중에는 권한 강화 결함 8종과 심각성이 높은 것으로 분류된 결함 9종이 포함되었다. 구글은 중대한 결함으로 분류된 원격 코드 실행 결함 2개와 커널, 시스템 온 칩 구성요소의 일부 중대한 문제를 포함한 시스템 내 버그 16가지를 수정했다.
업데이트 사항에는 픽셀 전용 패치 몇 가지도 포함되었다. 그중에는 CVE-2023-0266로 알려진 커널 내 권한 강화 결함이 포함되었다. 2023년 4월 안드로이드 패치 배포 사항은 구글 기기와 삼성 갤럭시 S 시리즈, 갤럭시 Z 폴드 및 갤럭시 Z 플립 시리즈 등 다른 안드로이드 기기에 업데이트 가능하다.
구글 크롬
구글은 4월 초, 인기 브라우저인 크롬의 16가지 결함을 수정할 패치를 배포했다. 그중 일부는 보안 결함 수준이 심각한 것으로 확인됐다. 크롬 패치 배포 사항에 포함된 결함은 위험성이 높은 것으로 분류된 비주얼(Visuals) 내 힙 버퍼 오버플로인 CVE-2023-1810와 프레임(Frames)의 UAF 취약점인 CVE-2023-1811가 포함되었다. 나머지 보안 버그 14종은 위험성이 중간이거나 낮은 것으로 분류됐다.
4월 중순, 구글은 두 가지 결함 수정 사항을 반영한 긴급 업데이트를 발행하였다. 그중 하나는 실제 공격에 악용되었다. 공격에 악용된 것으로 확인된 CVE-2023-2033는 V8 자바스크립트 엔진의 혼란을 유발하는 결함이다. 구글은 블로그를 통해 “CVE-2023-2033 악용 공격이 널리 확산된 사실을 인지하고 있다”라고 밝혔다.
며칠 뒤 구글은 또다시 패치를 배포했다. 이번에는 스키아(Skia) 그래픽 엔진에서 발견된 정수 오버플로(integer overflow) 버그인 CVE-2023-2136를 수정했다.
버그 수와 결함의 심각성 모두 고려했을 때 크롬 사용자는 현재 사용 중인 브라우저 버전의 업데이트 여부를 확인하는 것이 좋다.
모질라 파이어폭스
크롬의 경쟁 브라우저인 파이어폭스는 파이어폭스 112와 파이어폭스 안드로이드 112, 포커스 포 안드로이드 112를 대상으로 패치를 배포했다. 패치 배포 대상에 포함된 결함 중 CVE-2023-29531은 맥OS의 웹GL(WebGL) 내 허용되지 않은 메모리 접근 권한으로, 결함 위험성이 높은 것으로 확인됐다. 반면, CVE-2023-29532는 윈도에 영향을 미칠 수 있는 우회 결함으로, 로컬 시스템 접근이 필요하다.
파이어폭스 모기업인 모질라가 보안 주의보를 통해 경고한 바에 따르면, CVE-2023-1999은 libwebp의 더블 프리(double-free) 버그로, 메모리 손상과 악용 가능성이 있는 손상을 일으킨다.
모질라는 메모리 안전 버그인 CVE-2023-29550와 CVE-2023-29551도 수정했다. 모질라는 “일부 버그는 메모리 손상 증거가 드러났다. 이에, 모질라는 충분한 노력 이후 일부 버그가 임의 코드 실행 목적으로 악용됐을 가능성을 추정한다”라고 말했다.
솔라윈즈
IT 대기업 솔라윈즈는 자사 플랫폼에서 발견한 보안 심각성이 큰 문제점 두 개를 수정했다. 각각 명령 실행과 권한 강화로 이어질 수 있는 결함이다. 솔라윈즈의 보안 주의보에 따르면, 첫 번째 결함인 CVE-2022-36963는 솔라윈즈 인프라 모니터링 및 관리 제품에서 발견된 명령 주입 결함이다. 이를 악용한다면, 버그는 유효한 솔라윈즈 플랫폼 관리자 계정으로 원격 공격을 개시해 임의 명령을 실행할 수 있다.
위험성이 높은 것으로 확인된 또 다른 결함인 CVE-2022-47505는 유효 시스템 사용자 계정을 지닌 로컬 공격자가 권한 강화에 이용할 수 있는 로컬 권한 강화 취약점이다.
솔라윈즈의 마지막 패치는 위험성이 중간 수준으로 확인된 몇 가지 문제점도 수정했다. 솔라윈즈가 패치 배포로 수정한 결함 중 공격에 악용된 결함은 없다. 그러나 결함의 영향을 받았다면, 즉시 업데이트하는 것이 맞다.
오라클
2023년 4월은 엔터프라이스 소프트웨어 개발사인 오라클에도 보안 패치 측면에서 중요한 시기였다. 오라클은 보안 위험성이 중대한 것으로 분류된 보안 결함 70종을 포함하여 총 433가지 취약점을 수정했다. 그중에는 보안 위험성 점수 10점 만점 기준 9.8점으로 평가된 CVE-2022-23457를 포함한 오라클 골든게이트 리스크 매트릭스(Oracle GoldenGate Risk Matrix)의 문제점도 있다. 오라클은 보안 주의보를 통해 오라클 골든게이트 리스크 매트릭스의 문제점은 인증 과정이 없어도 원격 실행이 가능할 수도 있다고 경고했다.
오라클의 4월 보안 패치 중에는 오라클 커머스(Oracle Commerce) 패치도 있다. 오라클은 “모든 취약점은 인증 과정을 거치지 않아도 원격으로 악용이 가능하다”라고 경고했다.
오라클은 실제 성공한 공격이 제기한 위협 탓에 고객에게 최대한 빨리 ‘크리티컬 패치 업데이트(Critical Patch Update)’ 보안 수정 사항을 적용할 것을 강력히 권고했다.
시스코
소프트웨어 기업 시스코(Cisco)는 인증과 로컬 공격자의 제한된 셸 탈출, 기본 운영체제 내 기본 권한 확보 등이 가능한 취약점 수정 사항을 배포했다.
시스코 EPNM(Cisco EPNM), 시스코 ISE(Cisco ISE), 시스코 프라임 인프라스트럭처(Cisco Prime Infrastructure) 등에 영향을 미친 CVE-2023-20121은 명령 주입 취약점이다. 공격자는 기기에 로그인하고 조작된 CLI 명령을 발행하는 방식으로 결함을 악용할 수 있다. 시스코는 “CVE-2023-20121를 악용한 공격을 개시할 때, 공격자는 제한된 셸에서 벗어나 피해가 발생한 기기의 기본 운영체제의 기본 권한을 손에 넣을 수 있다”라며, 공격자가 인증된 셸 사용자여야만 결함 악용이 가능하다고 덧붙여 전했다.
반면, CVE-2023-20122는 시스코 ISE의 제한된 셸인 명령 주입 취약점이다. CVE-2023-20122는 인증 후 로컬 공격자가 제한된 셸을 벗어나 기본 운영체제의 기본 권한을 손에 넣을 수 있다.
SAP
SAP도 4월 한 달간 ‘패치 데이(Patch Day)’를 통해 보안 취약점 패치를 배포하느라 분주했다. SAP가 4월 내내 배포한 패치 중에는 새로이 등장한 시큐리티 노트(Security Notes)의 결함 19종이 포함됐다. 그중 CVE-2023-27497은 SAP 진단 에이전트(SAP Diagnostics Agent)의 여러 가지 취약점으로 구성되었다. SAP의 패치 적용 대상 중 주목할 만한 또 다른 취약점인 CVE-2023-28765는 SAP 비즈니스 오브젝트 비즈니스 인텔리전스 플랫폼(SAP BusinessObjects Business Intelligence Platform) 내 정보 공개 취약점이다. 보안 기업 오냅시스(Onapsis)에 따르면, 패스워드 보호 시행을 놓치면서 공격자가 Icmbiar 파일에 접근할 수 있다. 오냅시스는 “콘텐츠 암호화 해독 이후 공격자는 사용자 패스워드 접근 권한을 확보할 수 있다. 공격자가 사칭한 사용자의 권한에 따라 시스템의 신뢰성과 무결성, 사용 가능성 등을 완벽하게 해칠 수 있다”라고 전했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202305/4708_6175_938.jpg)
뉴스레터 신청