가상화ㆍ컨테이너 / 보안

11년 묵은 가상머신 취약점 발견…가상 플로피 통해 버퍼 오버플로우 유발

Maria Korolov  | CSO 2015.05.14
크라우드스트라이크(CrowdStrike)의 연구원들이 현재 많이 사용되고 있는 가상머신 플랫폼에서 해커가 호스트에 액세스할 수도 있는 버퍼 오퍼플로우 취약점을 발견했다고 발표했다.

연구원들은 이 취약점에 VENOM(Virtualized Environment Neglected Operations Manipulation)이란 이름을 붙였는데, 오랫동안 방치된 코드인 가상 플로피 디스크 컨트롤러를 악용하기 때문이다. 취약점을 발견한 연구원 제이슨 게프너는 “전 세계에 수백 만대의 가상머신이 이 취약점을 가지고 있을 것으로 생각한다”고 강조했다.

영향을 받는 플랫폼은 젠 하이퍼바이저와 KVM, 오라클 VM 버추얼 박스, 그리고 네이티브 QEMU 클라이언트이다. 게프너는 이들 플랫폼이 클라우드 컴퓨팅 서비스나 IaaS 업체, 어플라이언스 업체 등에서 폭넓게 사용되고 있기 때문에 적지 않은 수의 가상머신이 영향을 받을 것으로 추정하고 있다.

발견된 취약점은 해커가 악성 명령어를 가상 플로피 드라이브로 전송할 수 있도록 해 버퍼 오버플로우를 유발하고, 호스트 머신에 대한 관리자 액세스를 획득할 수 있다. 크라우드스트라이크의 CTO 드미트리 알페로비치는 “가상머신의 오류를 유발해 호스트에서 관리자 권한으로 코드를 실행하는 방법으로, 해커가 악의적으로 이용할 수 있다”고 설명했다.

또한 현재의 보안 기술로는 탐지하기 어려운 은밀한 백도어를 기업 네트워크에 만들 수 있다고 덧붙였다.

더욱 심각한 것은 관리자가 가상 플로피 디스크 코드를 비활성화하더라도 전혀 상관없는 버그로 인해 여전히 문제의 코드에 액세스할 수 있다는 것. 실제로 플로피 드라이브를 사용하는 경우는 매우 드물다.

크라우드스트라이크는 관련 업체들에게 지난 4월말 이 문제를 알려줬고, 현재는 VENOM 취약점은 물론 플로피 드라이브를 완전히 비활성화하는 것을 막는 또 다른 버그를 위한 패치를 이용할 수 있다.

게프너는 “소프트웨어 업체들과 매우 긴밀하게 협조해 해당 취약점을 이해하고 패치를 개발하고 패치와 관련 정보를 발표했다”고 밝혔다.

패치 자체는 14일 공개적으로 발표되지만, 크라우드스트라이크는 개념 증명을 위한 악용 코드를 발표하지는 않고 있다. 게프너는 “가장 큰 우려 사항은 자체적으로 가상머신을 사용하고 있는 곳으로, 즉각 패치를 해야만 한다”고 강조했다.

또 이번 취약점은 처음 발견된 것으로, 실제 사용 환경에서 발견된 적은 없다고 덧붙였다.

이번에 취약점이 발견된 플로피 드라이브 코드는 2004년 만들어진 것으로, 이후 한 번도 수정되지 않았다. 알페로비치는 “20년 이상 거의 사용되지 않은 오래 된 기술인데, 새삼스럽게 우리를 괴롭히고 문제를 일으키고 있다”고 말했다.

게프너에 따르면, 플로피 드라이브 컨트롤러 코드는 앞으로도 이들 가상머신 플랫폼에 계속 포함되는데, 여전히 가상 플로피 드라이브가 꼭 필요한 몇몇 상황이 있기 때문이다. 예를 들어 플로피 드라이브가 있는 구형 컴퓨터가 여전히 존재하며, 하드디스크 복구 툴과 같은 일부 툴은 플로피에 설치해야 한다. 개발자들은 이들 툴을 위한 코드를 가상머신에서 테스트해야 하기 때문에 가상 플로피 디스크가 필요한 것이다.

이외에도 가상 플로피 디스크는 특수 형식의 플로피 디스크가 있어야 되는 구형 소프트웨어를 실행할 때도 필요하다. 일부 소프트웨어 업체가 불법 복제를 막기 위한 방법으로 이런 방법을 사용했다.  editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.