2019.10.11

기업용 VPN의 알려진 RCE 취약점 6가지, 이를 최소화하는 방법

Susan Bradley | CSO
VPN(가상 사설망)은 안전한 원격 액세스 방법으로 알려져 있다. 그러나 정말 그럴까? VPN 전화 앱과 기업용 솔루션에 알려진 취약점이 존재하며, 이는 VPN 애플리케이션을 사용할 때의 위험에 대해 알려준다. 
 
ⓒ Getty Images

예를 들어, 호주의 연방 과학산업 연구기구(Commonwealth Scientific and Industrial Research Organization, CSIRO)는 구글 플레이스토어에 있는 283개 모바일 VPN을 상세 분석해 프라이버시 및 보안 측면에서 중대한 문제점이 있음을 발견했다.

기업용 VPN 소프트웨어도 다르지 않다. 최근 VPN 플랫폼을 표적으로 삼은 공격이 있었다. 일부는 통신, 소프트웨어, 방위산업이 표적이었다. 이 C&C(Command and Control) 서버는 악성코드 구성 스트링을 호스팅한 상태로 퍼블릭 소셜 프로필에 은닉, 침해된 시스템을 탐지하기 아주 어렵게 만든다. 공격자는 VPN 비밀번호를 훔친 다음, RDP(Remote Desktop Protocol)을 사용해 네트워크 내부 더 깊숙이 침투한다. 또 Mimikatz, PWDump, WDigest 크리덴셜 획득으로 내부망 이동을 한다.

공격자가 통상 RCE(Remote Code Execution)을 매개체로 인증 크리덴셜이 포함된 파일 등 파일을 찾아 탈취할 수 있도록 만드는 취약점이다. 공격자는 이후 입수한 크리덴셜로 VPN에 연결한다. 그런 다음 구성 설정을 바꾸거나 내부망 이동을 통해 내부 인프라에 더 깊숙이 침투할 수 있다.

pre-auth RCE 및 post-auth RCE 취약점들
2019년 7월, 오렌지 차이와 메 창은 미국 라스베가스 블랙햇 컨퍼런스에서 pre-auth RCE 취약점에 대해 이야기를 했다. SSL VPN은 기업 네트워크에 큰 신뢰 아래 사용되고 있다. 소수 SSL 공급업체가 시장을 지배한다. 그런데 원격지의 경우 업데이트가 되지 않는 경우가 많다.

공격자는 VPN에 침입한 후 다른 방법을 사용, 사용자 계정을 획득하고, 내부 이동에 필요한 권한을 획득한다. 오피스 365의 경우, ‘Ruler’라는 공격 도구. 그리고 이후 익스체인지 웹 서비스를 사용한다. 다음은 인기 엔터프라이즈 VPN 솔루션의 알려진 RCE 취약점들이다.

펄스 커넥트 시큐어(Pulse Connect Secure)
- CVE-2019-11510--pre-auth 임의(arbitrary) 파일 읽기: 인증되지 않은 원격 공격자가 파일을 읽기 위해, URI(Uniform Resource Identifier)를 만들어 보낼 수 있다. 이 취약점은 Pulse Secure Pulse Connect Secure(PCS) 8.2(8.2R12.1 이전), 8.3(8.3R7.1 이전), 9.0(9.0R3.4 이전)에 영향을 준다.
- CVE-2019-11539--post-auth 명령 주입: 관리자 웹 인터페이스가 인증된 공격자가 명령을 주입해 실행시킬 수 있도록 만든다. 이 취약점은 Pulse Secure PCS 버전 9.0RX(9.0R3.4 이전), 8.3RX(8.3R7.1 이전), 8.2RX(8.2R12.1 이전), 8.1RX(8.1R15.1 이전), 그리고 Pulse Policy Secure 버전 9.0RX(9.0R3.2 이전), 5.4RX(5.4R7.1 이전), 5.3RX(5.3R12.1 이전), 5.2RX(5.2R12.1 이전), 5.1RX(5.1R15.1 이전)에 영향을 준다.

포티넷 포티OS(Fortinet FortiOS)
- CVE-2018-13379--pre-auth 임의(arbitrary) 파일 읽기: SSL VPN 웹 포털 아래 경로 탐색 취약점은 인증되지 않은 공격자가 의도적으로 만든 HTTP 리소스 요청을 통해 시스템 파일을 다운로드할 수 있도록 만든다. 이 취약점은 포티넷 포티OS 6.0.0~6.0.4 및 5.6.3~5.6.7에 영향을 준다.
- CVE-2018-13382: 인증되지 않은 공격자가 의도적으로 만든 HTTP 요청을 통해 SSL VPN 웹 포털 사용자의 비밀번호를 바꿀 수 있다. 이 취약점은 포티넷 포티OS 6.0.0~6.0.4, 5.6.0~5.6.8, 5.4.1~5.4.10에 영향을 준다.
- CVE-2018-13383--post-auth 힙 오버플로우: 공격자가 라우터에서 실행되는 쉘(Shell)에 대한 권한을 획득할 수 있다. SSL VPN 웹 포털의 힙 버퍼 오버플로우는 웹 페이지 프록시 처리시 href 데이터를 적절히 처리하지 못하면서 로그인한 사용자의 SSL VPN 웹 서비스를 종료시킬 수 있다. 이는 6.05 버전 아래 모든 포티넷 포티OS에 영향을 준다.

팔로알토 글로벌 프로텍트 포털(Palo Alto GlobalProtect Portal)
- CVE-2019-1579: RCE가 인증되지 않은 원격 공격자로 하여금 임의(Arbitrary) 코드를 실행할 수 있도록 만들 수 있다. 이 취약점은 글로벌프로텍트 포털이나 글로벌프로텍트 게이트웨이 인터페이스가 활성화된 PAN-OS 7.1.18 버전, PAN-OS 8.1.2 이전 버전에 영향을 준다.


기업용 VPN이 초래하는 위험을 완화하는 방법

VPN 애플리케이션 덕분에 더 안전해질 것이라고 생각해서는 안된다. 때론 더 많은 위험이 초래된다. 다음은 위험을 최소화하는 방법이다.

- VPN 로그 파일에서 계정이 침해되어 사용되고 있는지 확인한다.
- 이해가 되지 않는 시간에 연결되거나, 기타 더 자세한 조사가 필요한 일반적이지 않은 이벤트가 있는지 찾는다.
- 원격 액세스를 패칭 및 유지관리 한다.
- VPN을 사용할 때 MFA(다중 인증)를 추가해 사용한다.
- VPN 솔루션을 구입하기 전, 최종 사용자 라이선스 계약서를 검토 및 조사한다. 믿을 수 있는 포럼에서 VPN 솔루션에 대한 조언을 참고한다.
- 원격지를 포함, 애플리케이션을 업데이트 및 유지관리 한다.
- 사용자에게 VPN을 적합하게 사용하는 방법에 대한 가이드와 교육을 제공한다. editor@itworld.co.kr 


VPN / RCE
2019.10.11

기업용 VPN의 알려진 RCE 취약점 6가지, 이를 최소화하는 방법

Susan Bradley | CSO
VPN(가상 사설망)은 안전한 원격 액세스 방법으로 알려져 있다. 그러나 정말 그럴까? VPN 전화 앱과 기업용 솔루션에 알려진 취약점이 존재하며, 이는 VPN 애플리케이션을 사용할 때의 위험에 대해 알려준다. 
 
ⓒ Getty Images

예를 들어, 호주의 연방 과학산업 연구기구(Commonwealth Scientific and Industrial Research Organization, CSIRO)는 구글 플레이스토어에 있는 283개 모바일 VPN을 상세 분석해 프라이버시 및 보안 측면에서 중대한 문제점이 있음을 발견했다.

기업용 VPN 소프트웨어도 다르지 않다. 최근 VPN 플랫폼을 표적으로 삼은 공격이 있었다. 일부는 통신, 소프트웨어, 방위산업이 표적이었다. 이 C&C(Command and Control) 서버는 악성코드 구성 스트링을 호스팅한 상태로 퍼블릭 소셜 프로필에 은닉, 침해된 시스템을 탐지하기 아주 어렵게 만든다. 공격자는 VPN 비밀번호를 훔친 다음, RDP(Remote Desktop Protocol)을 사용해 네트워크 내부 더 깊숙이 침투한다. 또 Mimikatz, PWDump, WDigest 크리덴셜 획득으로 내부망 이동을 한다.

공격자가 통상 RCE(Remote Code Execution)을 매개체로 인증 크리덴셜이 포함된 파일 등 파일을 찾아 탈취할 수 있도록 만드는 취약점이다. 공격자는 이후 입수한 크리덴셜로 VPN에 연결한다. 그런 다음 구성 설정을 바꾸거나 내부망 이동을 통해 내부 인프라에 더 깊숙이 침투할 수 있다.

pre-auth RCE 및 post-auth RCE 취약점들
2019년 7월, 오렌지 차이와 메 창은 미국 라스베가스 블랙햇 컨퍼런스에서 pre-auth RCE 취약점에 대해 이야기를 했다. SSL VPN은 기업 네트워크에 큰 신뢰 아래 사용되고 있다. 소수 SSL 공급업체가 시장을 지배한다. 그런데 원격지의 경우 업데이트가 되지 않는 경우가 많다.

공격자는 VPN에 침입한 후 다른 방법을 사용, 사용자 계정을 획득하고, 내부 이동에 필요한 권한을 획득한다. 오피스 365의 경우, ‘Ruler’라는 공격 도구. 그리고 이후 익스체인지 웹 서비스를 사용한다. 다음은 인기 엔터프라이즈 VPN 솔루션의 알려진 RCE 취약점들이다.

펄스 커넥트 시큐어(Pulse Connect Secure)
- CVE-2019-11510--pre-auth 임의(arbitrary) 파일 읽기: 인증되지 않은 원격 공격자가 파일을 읽기 위해, URI(Uniform Resource Identifier)를 만들어 보낼 수 있다. 이 취약점은 Pulse Secure Pulse Connect Secure(PCS) 8.2(8.2R12.1 이전), 8.3(8.3R7.1 이전), 9.0(9.0R3.4 이전)에 영향을 준다.
- CVE-2019-11539--post-auth 명령 주입: 관리자 웹 인터페이스가 인증된 공격자가 명령을 주입해 실행시킬 수 있도록 만든다. 이 취약점은 Pulse Secure PCS 버전 9.0RX(9.0R3.4 이전), 8.3RX(8.3R7.1 이전), 8.2RX(8.2R12.1 이전), 8.1RX(8.1R15.1 이전), 그리고 Pulse Policy Secure 버전 9.0RX(9.0R3.2 이전), 5.4RX(5.4R7.1 이전), 5.3RX(5.3R12.1 이전), 5.2RX(5.2R12.1 이전), 5.1RX(5.1R15.1 이전)에 영향을 준다.

포티넷 포티OS(Fortinet FortiOS)
- CVE-2018-13379--pre-auth 임의(arbitrary) 파일 읽기: SSL VPN 웹 포털 아래 경로 탐색 취약점은 인증되지 않은 공격자가 의도적으로 만든 HTTP 리소스 요청을 통해 시스템 파일을 다운로드할 수 있도록 만든다. 이 취약점은 포티넷 포티OS 6.0.0~6.0.4 및 5.6.3~5.6.7에 영향을 준다.
- CVE-2018-13382: 인증되지 않은 공격자가 의도적으로 만든 HTTP 요청을 통해 SSL VPN 웹 포털 사용자의 비밀번호를 바꿀 수 있다. 이 취약점은 포티넷 포티OS 6.0.0~6.0.4, 5.6.0~5.6.8, 5.4.1~5.4.10에 영향을 준다.
- CVE-2018-13383--post-auth 힙 오버플로우: 공격자가 라우터에서 실행되는 쉘(Shell)에 대한 권한을 획득할 수 있다. SSL VPN 웹 포털의 힙 버퍼 오버플로우는 웹 페이지 프록시 처리시 href 데이터를 적절히 처리하지 못하면서 로그인한 사용자의 SSL VPN 웹 서비스를 종료시킬 수 있다. 이는 6.05 버전 아래 모든 포티넷 포티OS에 영향을 준다.

팔로알토 글로벌 프로텍트 포털(Palo Alto GlobalProtect Portal)
- CVE-2019-1579: RCE가 인증되지 않은 원격 공격자로 하여금 임의(Arbitrary) 코드를 실행할 수 있도록 만들 수 있다. 이 취약점은 글로벌프로텍트 포털이나 글로벌프로텍트 게이트웨이 인터페이스가 활성화된 PAN-OS 7.1.18 버전, PAN-OS 8.1.2 이전 버전에 영향을 준다.


기업용 VPN이 초래하는 위험을 완화하는 방법

VPN 애플리케이션 덕분에 더 안전해질 것이라고 생각해서는 안된다. 때론 더 많은 위험이 초래된다. 다음은 위험을 최소화하는 방법이다.

- VPN 로그 파일에서 계정이 침해되어 사용되고 있는지 확인한다.
- 이해가 되지 않는 시간에 연결되거나, 기타 더 자세한 조사가 필요한 일반적이지 않은 이벤트가 있는지 찾는다.
- 원격 액세스를 패칭 및 유지관리 한다.
- VPN을 사용할 때 MFA(다중 인증)를 추가해 사용한다.
- VPN 솔루션을 구입하기 전, 최종 사용자 라이선스 계약서를 검토 및 조사한다. 믿을 수 있는 포럼에서 VPN 솔루션에 대한 조언을 참고한다.
- 원격지를 포함, 애플리케이션을 업데이트 및 유지관리 한다.
- 사용자에게 VPN을 적합하게 사용하는 방법에 대한 가이드와 교육을 제공한다. editor@itworld.co.kr 


VPN / RCE
X