By KATE O'FLAHERTY, WIRED UK

2023년 8월 한 달간 마이크로소프트, 구글 크롬, 그리고 그 경쟁 브라우저 파이어폭스 등이 심각한 사이버 보안 문제를 수정하기 위한 패치를 여럿 배포하면서 여름을 마무리했다. 패치 배포 대상이 된 보안 문제 중에는 실제 사이버 공격에 악용된 취약점도 일부 존재한다.

이 기사를 송출할 시점까지 아이폰 업데이트 사항은 공개되지 않았으나 일부 주요 기업이 엔터프라이스 소프트웨어 수정 사항을 배포했다. 대표적인 예시로 사이버 공격에 악용된 이반티(Ivanti) 제품의 결함, SAP와 시스코 소프트웨어 취약점 수정 사항 등이 있다.

2023년 8월 패치와 관련하여 알아야 할 모든 정보를 아래와 같이 전달한다.

마이크로소프트
마이크로소프트는 8월 패치 화요일(Patch Tuesday)을 통해 취약점 수십 개를 배포했다. 그중 두 개는 이미 실제 사이버 공격에 악용되었다. 첫 번째 패치는 CVE-2023-36884에 대한 심층방어(Defense in Depth)이다. CVE-2023-36884는 공격자가 마이크로소프트의 마크 오브 웹(Mark of the Web) 보안 기능을 우회하도록 하는 윈도 서치(Windows Search) 내 원격 코드 실행 결함이다. 익숙하다고 느낄 수도 있을 것이다. 마이크로소프트가 2023년 7월, 한 차례 수정한 취약점이기 때문이다. 마이크로소프트는 8월 업데이트 사항을 설치한다면, 문제 발생으로 이어지는 공격 체인을 중단할 수 있다고 안내했다.

사이버 공격에 악용된 두 번째 결함인 CVE-2023-38180는 적이 서비스 거부 공격을 개시하도록 하는 .NET과 비주얼 스튜디오에서 발견된 문제이다.

8월 패치 화요일을 통해 수정한 문제 6개는 보안 위험성 등급이 심각한 것으로 알려졌다. 그중에는 아웃룩 이메일 클라이언트의 원격 코드 실행 공격인 CVE-2023-36895도 포함되었다. 반면, 보안 업데이트 가이드에 따르면, CVE-2023-35385, CVE-2023-36910, CVE-2023-36911는 마이크로소프트 메시지 큐잉(Microsoft Message Queuing) 서비스에서 원격 코드 실행 문제를 일으켰다.

다섯 번째 결함과 여섯 번째 결함인 CVE-2023-29328과 CVE-2023-29330은 팀즈에서 발견된 원격 코드 실행 결함이다.
 
구글 크롬
8월에는 보안 위험성이 심각한 결함 9종을 포함하여 크롬 115의 업데이트 사항이 여럿 배포되었다. 보안 패치 17종 중에는 V8의 타입 혼동(type-confusion) 결함인 CVE-2023-4068과 CVE-2023-4069, CVE-2023-4070도 있다. 크롬의 또 다른 보안 패치 적용 사항인 CVE-2023-4071은 비주얼에서 발견된 힙 버퍼 오버플로우(heap buffer overflow) 공격이며, CVE-2023-4076는 WebRTC에서 발견된 UAF(use-after-free) 결함이다.

몇 주 뒤 구글은 크롬 116의 26가지 취약점 패치를 업데이트했다. 그중 8개는 위험성이 심각한 것으로 확인됐다. 가장 심각한 취약점은 오프라인의 UAF 버그인 CVE-2023-2312와 디바이스 트러스트 커넥터(Device Trust Connectors)의 UAF 결함인 CVE-2023-4349이다. 세 번째 결함인 CVE-2023-4350는 풀스크린에서 부적절한 기능을 시행한다.

8월 23일(현지 시각), 구글은 최초로 주 단위 정기 보안 업데이트 사항을 공개하며, 5가지 결함을 대상으로 패치를 배포했다. 그중에는 위험성이 높은 UAF 버그 2개와 한계를 벗어난 메모리 접근 문제 2개가 포함되었다.

파이어폭스
프라이버시에 초점을 맞춘 크롬의 경쟁 브라우저인 파이어폭스도 8월 내내 패치 배포로 분주하였다. 파이어폭스 116은 취약점 10여 개 이상 배포됐다. 파이어폭스 소유 기업인 모질라가 배포한 패치 중에는 보안 위험성이 높은 오프스크린 캔버스(Offscreen Canvas)인 CVE-2023-4045와 공격자가 사용자를 속여 허가 권한을 얻을 수 있는 팝업 알림 지연 계산 버그인 CVE-2023-4047도 있다.

메모리 세이프 버그인 CVE-2023-4056, CVE-2023-4057, CVE-2023-4058도 파이어폭스의 8월 패치 배포 사항에 포함되었다. 모질라 측은 “최근 업데이트로 수정한 결함에서 메모리 조작 증거가 드러났다. 일부 결함은 충분한 공격 활동을 통해 임의 코드 실행에 악용할 수 있다고 판단했다”라고 말했다.

구글 안드로이드
구글은 프레임워크, 시스템, 커널 등의 심각한 결함을 포함하여 안드로이드 운영체제 보안 결함 40종을 업데이트했다. 8월 수정된 결함 중 가장 심각한 결함인 CVE-2023-21273는 시스템 구성요소에서 발견된 보안 등급 위험성이 심각한 취약점이다. 해당 취약점은 추가 실행 권한 없이 원격 코드 실행으로 이어질 수 있는 시스템 구성요소의 취약점이다. 구글은 안드로이드 보안 공보를 통해 사용자의 상호작용이 필요하지 않다고 설명했다.

반면, 미디어 프레임워크에서 발견된 원격 코드 실행 결함인 CVE-2023-21282도 중대한 영향을 미치는 것으로 확인됐다. 패치 적용 대상이 된 커널의 심각한 보안 결함인 CVE-2023-21264는 로컬 특권 강화로 이어질 수 있는 결함이다. 다만, 이를 악용하려면, 시스템 실행 권한이 필요하다.

안드로이드가 패치를 배포한 결함 중 실제 공격에 악용된 결함은 없다. 하지만 일부 결함은 매우 심각하므로 가능하다면, 빨리 업데이트해야 한다. 갤럭시 S23 등 삼성 스마트폰은 물론이고, 구글 픽셀 기기도 업데이트할 수 있다.

이반티
IT 소프트웨어 개발사 이반티는 실제 사이버 공격에 악용된 결함 수정을 포함하여 중요한 패치를 여럿 배포했다. 이반티의 패치 배포 대상에 해당하는 결함 중 CVE-2023-35081는 과거, 모바일아이언 코어(MobileIron Core)라는 이름으로 알려진 이반티 엔드포인트 매니저 모바일(EPMM)의 순회 취약점으로, 웹 애플리케이션 서버에서 임의 파일을 작성하도록 한다. 미국 사이버보안 및 인프라 보안국(CISA)은 CVE-2023-35081를 악용하는 공격자가 임의 파일 작성 후 웹 쉘과 같이 게재된 파일을 실행할 수 있다고 경고했다.

이반티는 자사 웹사이트 보안 공보를 통해 “이반티는 보안 취약점을 인지하자마자 자원을 모집하여 문제를 수정하고 지금 당장 사용할 수 있는 패치를 적용했다. 즉시 완벽하게 보호하는 것이 중요하다”라고 안내했다.

패치는 노르웨이 정부가 이반티의 또 다른 EPMM 결함인 CVE-2023-35078의 공격 대상이 된 사실이 밝혀진 즉시 배포됐다. 이반티는 CVE-2023-35078과 CVE-2023-35081을 결합하여 관리자 인증을 우회할 수 있다고 전했다.

이반티에는 8월은 다사다난한 달이었다. 이반티는 이반티 센트리(Ivanti Sentry)에서 이미 사이버 공격에 악용된 취약점을 발견했다고 밝혔다. CVE-2023-38035로 알려진 결함은 인증되지 않은 이가 민감한 API에 접근하여 관리자 포털(포트 844)에서 이반티 센트리를 구성할 수 있는 결함이다.

보안 위험 심각성 점수가 9.8점임을 고려하면, 포트 8443에 노출되지 않은 고객의 악용 위험성은 낮은 편이라고 볼 수 있다.

시스코
엔터프라이스 소프트웨어 기업 시스코도 자사 제품의 결함 여러 개의 패치를 배포했다. 그중 일부는 보안 위험성이 심각한 것으로 분류되었다. 보안 위험성 점수 7.5점인 CVE-2023-20197는 ClamAV의 HFS 플러스(Hierarchical File System Plus) 내 파일 시스템 이미지 파서에서 발견된 최악의 취약점이다. 해당 취약점은 원격 공격자가 피해가 발생한 기기의 서비스 거부 공격을 일으키도록 한다.

반면, 시스코 넥서스 3000 시리즈 스위치의 시스코 NX-OS 소프트웨어 IS-IS(Intermediate System-to-Intermediate System) 프로코콜과 독자형 NX-OS 모드 내 시스코 넥서스 9000 시리즈 스위치에서 발견된 취약점은 인증되지 않은 공격자가 IS-IS 과정을 갑자기 개시하고는 기기를 재시작하고 다시 로딩할 수 있다.

SAP
SAP는 자사 제품의 취약점을 다룰 새로운 수정 사항을 배포하는 등 8월 보안 패치 데이(Security Patch Day)에 분주한 모습을 보였다. SAP 파워디자이너(SAP PowerDesigner)는 보안 심각성 점수 9.8점인 CVE-2023-37483를 포함한 다양한 결함을 수정했다. 보안 기업 오냅시스(Onapsis)는 “CVE-2023-37483가 보안 심각성 점수가 최고점인 10점을 받지 못한 유일한 이유는 악용할 때마다 범위가 바뀌지 않았기 때문이다”라고 설명했다.

SAP의 8월 패치 배포 대상 중에는 SAP 비즈니스 원의 크로스 사이트 스크립팅(Cross-Site Scripting) 취약점인 CVE-2023-39437도 있다. 이 외에도 보안 심각성 점수 7.6점으로 책정된 SAP 비즈니스 오브젝트 비즈니스 인텔리전스 수트(SAP BusinessObjects Business Intelligence Suite)의 바이너리 탈취 결함인 CVE-2023-37490도 심각한 보안 취약점으로 발견되어 패치가 배포되었다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Google Fixes Serious Security Flaws in Chrome and Android