개요

다사다난 했던 2021, 코로나로 인해 다양한 분야에서 빠른 속도로 디지털화가 진행되었습니다. 그로인해 다양한 소프트웨어 및 서비스에서 취약점 및 보안 사고가 발생했던 해가 아닌가 싶습니다. 그 중 Hot🔥 했던 CVE와 보안 사건/사고 들을 돌아보는 시간을 가져보겠습니다! 먼저 올해 상반기에 일어났던 보안 사건과 사고를 알아보러 출발하시죠!

Solarwinds

• 공급망 공격, Supply Chain Attack

2021년 핫 키워드 중 하나는 Supply Chain Attack(공급망 공격) 이 아닐까 싶습니다. 국내 보안 모듈 회사인 베라포트[1] 부터 전세계 많은 회사에서 사용하고 있는 Solarwinds까지, 일상속에서 사용하고 있는 소프트웨어가 공급망 공격에 당할 경우 어디까지 피해를 입을 수 있는지를 보여준 사례입니다.

https://en.wikipedia.org/wiki/Supply_chain_attack#/media/File:Supply_chain_network.png

2020년 12월 8일, 글로벌 정보보안 기업 FireEye가 정부 후원을 받는 해커 그룹으로부터 공격당해 자사의 “FireEye Red Team” 툴이 탈취당한 사실을 발표했습니다. 해당 공격은 Solarwinds라는 기업의 솔루션을 통해 감행되었으며, Solarwinds Orion의 Update 서버를 통해 악성 파일이 전파된 것으로 드러났습니다. Solorigate 또는 Sunburst라고 불리는 이 공격은 주요 IT 기업들뿐만 아니라 미국의 여러 정부 부처까지 영향을 미친 정황이 발견되었습니다. 미 CISA(Cybersecurity and Infrastructure Security Agency)는 영향을 받는 버전과의 연결을 즉시 끊거나 전원을 차단하라는 긴급 조치를 발표하였습니다.[2] 공격에 사용된 방법과 타임라인은 드림핵 게시글[3] 에서 확인할 수 있습니다.

[1] https://dreamhack.io/forum/community/552
[2] https://cyber.dhs.gov/ed/21-01/
[3] https://dreamhack.io/forum/community/619

Sudo

• 권한 상승, Elevation of Privilege
• CVE-2021-3156

Sudo 프로그램은 Linux에서 root 권한의 명령을 수행하기 위해서 사용하는 프로그램입니다. 해당 프로그램에서 인자를 파싱하는 과정에서 \ 문자를 적절하게 처리하지 못해서 Buffer Overflow가 발생하고, 공격자는 해당 취약점을 통해서 일반 사용자에서 root로 권한 상승이 가능합니다. 패치 커밋은 [1], [2]에서 확인해볼 수 있습니다. 이 취약점은 무려 10년 동안 아무도 발견하지 못한 취약점이었는데요. 이렇게 파급력이 높은 취약점이 10년 동안 꽁꽁 숨어있던 게 놀라울 따름입니다. 오픈소스에 숨어있는 보물과도 같은 취약점을 함께 찾아보아요.

[1] https://github.com/sudo-project/sudo/commit/1f8638577d0c80a4ff864a2aad80a0d95488e9a8
[2] https://github.com/sudo-project/sudo/commit/b301b46b79c6e2a76d530fa36d05992e74952ee8

vCenter

• 원격 코드 실행, Remote Code Execution
• CVE-2021-21972

vCenter는 VMware vSphere 환경 제어를 위한 중앙 집중식 플랫폼을 제공하는 서버 관리 소프트웨어입니다.
vCenter의 플러그인 중 하나인 uploadova은 압축 파일을 받아 지정된 경로에 압축 해제하여 파일을 생성하는데, 압축 파일들의 이름에 대한 검증의 부재로 임의 경로를 사용할 수 있는 Zip Slip[1] 공격이 가능한 문제가 있었습니다. 공격자는 이를 통해 jsp 파일 또는 설정 파일을 임의로 생성하여 원하는 명령어를 실행할 수 있습니다.

해당 CVE는 취약점의 심각성 등을 고려하여 수치로 표기하는 CVSS 에서 9.8점(3.x 버전), 10점(2.0 버전)으로 책정되었습니다.[2] 높은 점수를 받은 이유로는 취약점의 심각성도 존재하지만, 문제점이 발생하는 기능에 대한 올바른 접근 제어가 이루어지지않아 임의 사용자가 악용할 수 있어 더욱 더 높은 점수가 부여되었습니다. 더 자세한 내용은 [3]에서 확인할 수 있습니다.

[1] https://github.com/snyk/zip-slip-vulnerability
[2] https://nvd.nist.gov/vuln/detail/CVE-2021-21972
[3] https://swarm.ptsecurity.com/unauth-rce-vmware/

PHP

• 백도어, Backdoor

PHP 백도어 사건은 드림레터를[1] 통해 소식을 전하기도 하였습니다. 2021년 3월 28일 PHP 8.1.0-dev 버전이 백도어가 포함된 채로 배포되었습니다. 😱 이용자의 “HTTP_USER_AGENTT” 헤더의 값이 zerodium 문자열이 있는 경우 해당 값을 그대로 PHP를 통해 실행하는 무시무시한 백도어 코드였습니다.[2] [3]

PHP 개발자인 Nikita Popov는 해킹을 당했다는 사실을 인지 한 뒤, php.internals를 구독하고 있는 사용자들에게 아래와 같이 한 통의 메일[4]을 발송했습니다. 해당 메일의 내용은 “무슨 일이 일어났는지는 잘 모르지만, 개별 깃 계정이 해킹당한 것이 아닌 PHP 깃 서버가 해킹당한 것 같다.”와 함께 앞으로 어떤 방식으로 깃 워크 플로우를 변경할지를 포함하고 있습니다. 깃서버를 더이상 PHP가 자체적으로 관리하지 않고 단순히 미러 용도로만 사용하던 깃허브 레포를 메인 스트림으로 사용할 것을 약속했습니다.

[1] https://dreamhack.io/forum/community/849
[2] https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d
[3] https://github.com/php/php-src/commit/2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a
[4] https://news-web.php.net/php.internals/113838

MS Exchange Server

• Server Side Request Forgery
• CVE-2021-26855

Exchange Server는 사용자의 요청을 처리할 때 X-BEResource 라는 쿠키를 통해 요청을 처리할 백엔드 서버를 지정합니다. 이때 X-BEResource 쿠키값에 대해 불충분한 검증으로 인해 요청 경로를 변조할 수 있으며, 인증 없이 Exchange Server 내부로 임의의 요청을 보낼 수 있는 문제가 발생합니다.[1]

[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

• 임의 파일 작성 → 임의 코드 실행, Arbitrary File Write → Remote Code Execution
• CVE-2021-27065

Exchange server에서 가상 디렉터리를 설정하면 설정 정보를 서버 내의 파일 형태로 저장하며, 해당 설정 파일의 경로 및 이름을 사용자가 입력할 수 있습니다. 이 때, 저장할 설정 파일의 확장자를 검사하지 않아 aspx 파일을 생성할 수 있게 됩니다. 또한, 설정 파일 내에 저장되는 리소스 내용의 일부는 사용자에게 입력받는 파라미터로부터 만들어지게 되며, 공격자가 임의의 내용을 파일에 포함시킬 수 있으며, 결과적으로 공격자가 aspx 웹쉘을 통해 서버내에서 임의 코드를 실행할 수 있는 취약점을 발생합니다.[1]

[1] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-27065

MS Internet explorer

• 원격 코드 실행, Remote Code Execution
• CVE-2021-26411, CVE-2021-27085

https://techcommunity.microsoft.com/t5/microsoft-365-blog/microsoft-365-apps-say-farewell-to-internet-explorer-11-and/ba-p/1591666

MS는 2022년 6월 IE의 기술지원을 종료한다고 합니다. 하지만 IE의 인기(?)는 여전한데요. 특히 국내에서는 공인인증서 서비스 등에 의해 반강제적으로 IE를 사용할 수밖에 없었으며, IE 환경에서만 사용가능한 업무용 소프트웨어도 여전히 적지 않습니다. 즉, 여전히 해커들의 타겟인 것을 확인할 수 있었습니다. IE를 통한 공격의 대상은 공공기관 사람들에게만 그치지 않고 IE를 타겟으로 취약점 연구하는 국내 해커들또한 공격의 타겟이 되었습니다. 구글 TAG팀에 따르면 북한발 사이버 공격 캠페인이 실제로 있었고[1], 사이버 보안 회사인 엔키에서 해당 공격에 사용된 취약점을 분석하여 공개했습니다.[2] 드림레터를 통해 실제 공격을 시도한 트위터 메시지를 공유하였으니 확인해보세요![3]

[1] https://blog.google/threat-analysis-group/update-campaign-targeting-security-researchers/
[2] https://enki.co.kr/blog/2021/02/04/ie_0day
[3] https://dreamhack.io/forum/community/754

Zoom

• 원격 코드 실행, Remote Code Execution
• CVE-2021-34407

COVID-19로 인해 재택근무가 일상이 된 지금 다양한 원격 업무 시스템의 사용률은 점점 높아지고 있습니다. 추세에 민감한 해커들 역시 화상 회의 프로그램인 Zoom을 타겟으로 취약점 분석 연구를 진행하였습니다. 크롬 브라우저와 윈도우 커널등을 비롯해 소위 말하는 Big Company들의 소프트웨어의 취약점을 찾고 포상하는 대회인 Pwn2Own에서도 올해 Zoom을 신규 카테고리로 포함시켰습니다. 이 취약점은 Pwn2Own을 통해 Responsible Disclosure 절차를 밟았지만, 만약 In The Wild에서 돌아다녔다면, 대부분의 기업은 마비가 되었을 겁니다.[1]

Zoom에서 암호화된 채팅에 대한 핸드셰이크가 이루어질 때, 두 클라이언트는 RSA/ECDSA 인증서를 이용하여 키를 교환합니다. ECDSA 인증서를 쓰는 경우 AES로 Key를 복호화하는데, 이 때 Key의 크기와 상관 없이 Output buffer를 1024바이트로 고정 후 임의 크기의 입력을 복호화하여 힙 오버플로우 취약점이 발생했습니다. 이를 공략하기 위해 공격자들은 Path traversal로 임의 GIF 파일을 내려받아 32비트 프로세스에서의 Heap spray를 수행하였고, 공격의 안정성을 위해 추가로 Information disclosure primitive를 구성하였습니다.

[1] https://sector7.computest.nl/post/2021-08-zoom/

Dependency Confusion; NPM, Yarn, Pip, RubyGems, Gradle, Maven, NuGet, …

• 원격 코드 실행, Remote Code Execution

올해 2월에 발표되어 현재까지도 유효한 이 공격은 요즘 개발자들의 배포 워크플로우에 꽤 큰 타격을 줄 수 있습니다. 회사 차원의 Private repository에 JS, Python, Ruby, … 등 패키지를 올려 배포하는 경우 신경써야 할 공격입니다.

아이디어는 이렇습니다. 만약 어떤 패키지 my-package를 회사 내에서만 배포해야 한다면, 회사 내부에서만 접근 가능한 패키지 저장소(repository)를 하나 만든 뒤 그 곳에 패키지를 올립니다. 배포할 때는 해당 패키지의 이름, 버전으로 의존성을 추가하여 배포하게 됩니다.

하지만 모든 패키지를 회사 내부 저장소에서 서빙하기에는 프로젝트들이 가지는 패키지 의존성이 너무 많습니다. 가령 express 웹 서버를 가져다 쓰려면 공개 저장소(ex. npmjs.com)에서 받는 것이 현명하겠죠. 이쯤에서, my-package가 만약 공개 레포지토리에도 존재한다면 어떨까요?

실험의 결과는 놀라웠습니다. 공격자가 동일한 이름, 동일한 버전의 패키지를 올려놓았더니, 많은 기업들에서 공격자의 패키지를 대신 받게 된 것이죠. 이 방법으로 회사 내부에 침투하여 코드를 실행할 수 있었습니다. 이를 막기 위해서는 repository 주소를 회사 내부로 제한하거나, 패키지의 해시를 검사하거나 (package-lock.json, Pipfile.lock 등), repository 주소의 순서를 바꾸는 방법이 있습니다. 더 자세한 정보는 [1], [2]에서 확인할 수 있습니다.

[1] https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610
[2] https://azure.microsoft.com/en-us/resources/3-ways-to-mitigate-risk-using-private-package-feeds/

GitLab

• 원격 코드 실행, Remote Code Execution
• CVE-2021-22205

Gitlab은 깃 저장소 및 CI/CD, 이슈 추적, 보안성 테스트 등의 기능을 갖춘 웹 기반의 데브옵스 플랫폼으로 대중적으로 많이 사용되고 있습니다. 해당 취약점은 Gitlab의 파일을 처리하는 서비스에서 사용하는 ExifTool에서 발생한 CVE-2021-22204에 의해 원격 코드 실행이 가능합니다. 처음 CVE가 공개된 시점에서는 gitlab의 계정/권한을 가진 유저가 악용 가능하다고 공개되었습니다. 하지만 해커들의 연구가 이어졌으며 권한이 없는 상태에서도 해당 취약점을 악용할 수 있다는 것이 밝혀지며, 더욱 더 파급력이 증가한 취약점입니다.[1] [2]

올해 사이버공격방어대회 본선(CCE)에서는 이 취약점을 이용한 문제가 출제되기도 하였습니다.

[1] https://gitlab.com/gitlab-org/gitlab/-/issues/327121
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22204

Colonial Pipeline Ransomeware

• 랜섬웨어, Ransomware

사이버 공격은 보통 사이버 공간 내에서 이루어지기 때문에 일반인들에게는 현실적으로 그 피해가 와닿지 않을 수 있습니다. 하지만 해당 사건은 사이버 공격의 영향이 어떻게 실생활까지 미칠 수 있는지 다시 한번 생각하게 되는 사건입니다.

5월 7일 미국 최대의 연료 파이프라인인 Colonial Pipeline이 Ransomware의 공격을 탐지하고, 이에 대응하기 위해 파이프라인의 운영을 중단했습니다. Colonial Pipeline은 걸프만에 위치한 정유공장에서 미국 남부 및 동부로 정유를 운송하기 위해 설치된 파이프라인입니다. 길이는 5500마일에 달하고 하루에 약 250만 배럴을 운송하여 동부해안에서 소모되는 연료의 45%를 담당하고 있습니다.

송유관 운영중단의 영향으로 버지니아주, 조지아주, 노스캐롤라이나주, 사우스캐롤라이나주 등에서는 기름을 구입하기 위해서 많은 사용자가 몰리면서 5월 18일 기준으로 약 10,600개의 주유소에 연료가 고갈되었으며, 연료 부족으로 항공기 일정등의 차질이 발생하기도 했습니다.[1]

운영중단 2일 뒤인 5월 9일부터 일부 파이프 측선들의 가동을 시작했으며, 12일 운영 재개를 하겠다는 성명을 발표했습니다. 하지만 완전히 정상화된 것은 아니며 간헐적인 운영중단이 발생할 수 있음을 이야기했습니다.

FBI등 정부 기관은 수사에 착수했으며, 해당 공격을 DarkSide라는 랜섬웨어 범죄집단의 소행으로 추정하고 있습니다. 실제로 사건 발생 당일, Darkside는 다크넷에 사과문을 공개했으며 "Colonial Pipeline"를 직접적으로 언급하지는 않았지만 “오늘의 뉴스”라는 말을 사용하며 “우리의 목표는 돈을 버는 것이지 사회적 문제를 일으키려는 게 아니다” 라고 이야기했습니다.

랜섬웨어 그룹은 사건 즉시 75 비트코인 (당시 500만 달러, 한화 50억 상당)을 요구하였고, Colonial Pipeline는 해당 금액을 지불하였다고 합니다. FBI는 6월 7일 송유관 복구를 위해 지불한 비트코인의 일부를 회수했다고 밝혔습니다. 랜섬웨어로 벌어들인 자금이 저장된 지갑의 개인키를 가지고 비트코인을 회수할 수 있었다고 공표했으나, 개인키를 얻은 경위에 대해서는 자세히 밝히지 않았습니다.

이 후 11월에는 미 정부에서 랜섬웨어 범죄 집단의 정보를 제공하는 자에게 최대 천만 달러를 보상한다는 발표를 하며, 적극적인 수사를 진행하고 있습니다. 티오리는 드림레터를 통해 지금도 일어나고 있는 다양한 랜섬웨어 사건 소식을 전하고 있습니다.[2] 아직 드림핵을 가입하지 않았다면, 어서 가입해주세요! (https://dreamhack.io/)

[1] https://www.state.gov/reward-offers-for-information-to-bring-darkside-ransomware-variant-co-conspirators-to-justice/
[2] https://dreamhack.io/forum/community/964

마치며

본 글은 2021년 상반기에 발생한 Hot🔥 했던 CVE와 보안 사건/사고를 다루어보았습니다. 2021년 하반기는 다음 글에서 다루도록 하겠습니다.😋 다음 시간에 만나요~ 👋

About Theori

티오리(Theori)는 혁신적이고 탄탄한 기술력으로 다양한 난제를 해결하는 사이버보안 R&D 스타트업입니다. 티오리는 2016년에 설립되어 정부 기관 및 기업 고객들을 대상으로 차별성 있는 보안 컨설팅 뿐만 아니라, 난제급 보안 연구 프로젝트 등 아무나 하지 못하는 일들을 독보적으로 해내며 높은 퀄리티의 연구 기반 서비스를 제공합니다. 세계적 기술력을 바탕으로 꾸준하고 혁신적인 연구개발 과정을 통해 현재의 기술이나 해결책에 만족하지 않고 새로운 기술과 창의적인 아이디어를 위해 항상 노력하는 연구 중심적 집단입니다. 사이버 보안 교육, 보안 컨설팅, 버그바운티 운영 및 사이버 보안 위협 정보 제공에 도움이 필요하시면 언제든 티오리에게 연락주세요!

• 온라인 사이버 보안 교육 플랫폼, 드림핵: https://dreamhack.io/
• 보안 컨설팅: https://theori.io/service/consulting
• 버그바운티 플랫폼, 패치데이: https://patchday.io/
• 문의: contact@theori.io