보안

VM웨어, v리얼라이즈 로그 인사이트용 취약성 4가지 패치 공개

Lucian Constantin  | CSO 2023.02.06
VM웨어가 지난주 결합 형태로 공격자가 로그 수집 및 분석 플랫폼을 탈취할 수 있는 v리얼라이즈 로그 인사이트(vRealize Log Insight) 제품의 4가지 취약성에 대한 패치를 공개했다. 이어서 이번 주에는 개념 증명 익스플로잇 공격 체인과 함께 각 취약성에 대한 세부적인 설명이 공개됐다. 즉, 곧 공격이 계속될 수 있다는 뜻이다.

침투 테스트 기업 호라이즌3.ai(Horizon3.ai)의 연구원이 해당 결함에 대한 분석에서 “로그 인사이트 호스트에 대한 액세스를 확보하면 통합되어 있는 애플리케이션의 유형에 따라 공격자에게 일부 흥미로운 가능성을 제공한다. 수집된 로그에 다른 서비스의 민감한 데이터가 포함되어 있고 공격자가 세션 토큰, API 키, PII를 얻을 수 있는 경우가 많다. 이들 키와 세션을 통해 공격자가 다른 시스템으로 전환하고 추가적으로 환경을 해킹할 수 있다”라고 밝혔다.
 
ⓒ Getty Images Bank
 

취약성이 합쳐져 강력한 공격으로 번질 위험

하나의 취약성이 단독으로는 심각한 해킹이 되지 않지만, 여러 개가 합쳐져 강력한 공격이 가능해지는 최신 소프트웨어 보안의 보편적 현실을 보여주는 흥미로운 사례다. VM웨어는  CVE-2022-31704라는 첫번째 취약성을 경보에서 손상된 액세스 컨트롤로 설명했지만, 가능성이 있는 위치에 대해서는 추가적인 세부사항을 제공하지 않았다. 하지만 제품 업데이트와 함께 제공한 수동 우회 스크립트는 일부 실마리를 제공했다.

이 스크립트는 단순하게 TCP 포트 16520 ~ 16580에 대한 액세스를 차단한 방화벽 규칙을 추가했다. V리얼라이즈 로그 인사이트 문서에 포함된 호라이즌3의 연구에 따르면 이런 포트는 아파치 쓰리프트 RPC(Apache Thrift RPC, 원격 절차 호출) 프레임워크를 사용한 통신에 사용된다. RPC는 프로세스 간 통신 프로세스이며, 이를 통해 하나의 프로세스가 다른 프로세스로 하여금 특정 절차를 실행하도록 지시할 수 있다. 연구원은 논평에서 “이 정보를 통해 취약성이 RPC 서버에 있을 가능성이 높다는 것을 알 수 있다. 다음으로, 운용 시스템에 로그인하여 TCP 포트가 16520이 자바(Java) 애플리케이션에 의해 생성되었음을 발견했다”라고 밝혔다.

연구원은 여러 원격 절차 호출을 노출시키는 쓰리프트 RPC 서버를 시작하는 것을 담당하는 구성요소를 추적할 수 있었다. 그리고 호출을 위해 위해 단순한 쓰리프트 RPC 클라이언트를 개발했고 호출이 인증 없이 통과 및 실행되어 액세스 컨트롤에 문제가 발생하는 것을 확인했다. 강력한 RPC 액세스를 제공하지만 이 취약성만으로는 악성 코드를 실행할 수 없다.
 

두번째 취약성은 디렉터리 횡단 문제

두번째 취약성은 디렉터리 횡단 문제로 설명되는 CVE-2022-31706이다. 디렉터리 횡단은 공격자 또는 악성 프로세스가 금지된 파일시스템 경로를 탐색할 수 있는 조건이다.

쓰리프트 RPC가 노출한 RPC를 보면서 연구원은 .pak(아마도 패키지) 확장자를 가진 파일을 다운로드하여 /tmp/ 디렉터리에 배치하는 remotePakDownloadCommand라는 것을 발견했다. 그리고 pakUpgradeCommand라는 RPC를 사용하여 이 파일을 언팩킹하는 파이썬 스크립트를 부를 수 있다. 2개의 명령어를 사용하여 시스템 업그레이드를 수행함으로써 디렉터리 횡단 결함이 pak 파일 처리 과정에 포함되어 있음을 알게 되었다.

.pak 파일은 TAR 형식의 압축파일이며 압축 해제 전 처리에 서명 검증, 무결성 확인, 매니페스트 확인 등의 여러 단계가 포함되어 있었다. 연구원은 “모든 확인을 통과하는 tar 파일을 구성할 수 있다면 라인 493에 도달하고 extractFiles가 악성 tar를 분석하여 원하는 콘텐츠가 포함된 파일을 파일 시스템의 어느 곳에나 작성할 수 있다. 인정하건대, 이런 확인을 모두 통과하는 tar 파일을 수동으로 구성한 후 페이로드를 수용하기 위해 약간 수정한 정상적인 업그레이드 파일을 사용할 수 있다는 사실을 깨달았다”라고 밝혔다.
 

v리얼라이즈 로그 인사이트는 악성 pak 파일을 강제로 다운로드한다

이 시점에서 v리얼라이즈 로그 인사이트 제품이 인증 없이 악성 pak 파일을 다운로드한 후 악성 페이로드를 시스템에 강제 배치하기 위해 필요한 정보를 보유했다. 단, 한 가지 문제가 있었다. remotePakDownloadCommand를 부르려면 로그 인사이트 인스턴스에 대하여 생성된 고유한 값인 정상적인 노드 토큰이 필요하다.

이 토큰은 인증되지 않은 사용자에게 직접 제공되지 않지만 getConfig와 getHealthStatus 등의 다른 RPC를 불러 유출될 수 있다. 경보의 CVE-2022-31711에서 VM웨어가 추적한 정보 공개 문제일 가능성이 높다.

이렇게 해서 호라이즌3는 실행되면 공격자에게 root 권한으로 리버스 쉘(Reverse Shell)을 열어주는 새로운 항목을 리눅스 기반 시스템의 작업 예약 메커니즘인 crontab에 배치하는 개념 증명 익스플로잇 공격을 구성할 수 있었다.

VM웨어의 경보의 4번째 취약성은 시스템을 충돌시켜 서비스 거부 조건으로 이어지도록 악용하는 CVE-2022-31710이라는 역직렬화 문제이다. 이 취약성은 원격 코드 실행으로 귀결되는 익스플로잇 공격 체인의 필수 요소가 아니다.

로그 인사이트를 사용하여 로컬 네트워크로부터 로그를 수집하여 분석하기 때문에 이런 시스템이 인터넷에 노출되는 경우는 드물다. 공공 IP 공간에 대한 쇼단(Shodan)의 조사에서는 45개의 인스턴스만이 나타났다. 하지만 공격자가 다양한 방식을 통해 로컬 네트워크 액세스를 얻고 로그 인사이트 서버가 방화벽으로 보호되지 않는 경우, 손상되거나 민감한 데이터 때문에 횡방향 이동에 악용될 가능성이 있다.

호라이즌3는 기업이 배포할 때 악용 조짐을 확인할 수 있는 해킹의 조짐을 공개했다. VM웨어는 쓰리프트 RPC 서버와 관련된 포트 번호로의 트래픽을 차단하는 우회 스크립트뿐 아니라 결함을 패치하는 버전 8.10.2의 v리얼라이즈 로그 인사이트를 공개했다.
editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.