거의 모든 리눅스 배포판에서 발견된 폰킷 취약점, 공격 난이도 낮아
보안 업체 퀄리스(Qualys)에 의하면 폴리킷의 예전 이름은 폴리시킷(PolicyKit)이었다고 한다. 보안 정책과 관련된 요소이며, 인증을 담당한다. 이번에 발견된 취약점을 익스플로잇 하는 데 성공하면 누구나 루트 권한을 가져갈 수 있게 된다. 루트 권한을 가져가면 공격자가 원하는 모든 것을 할 수 있다는 뜻으로, 퀄리스는 “시급히 패치해야 할 취약점임에 분명하다”고 경고했다. 퀄리스는 이 취약점에 폰킷(PwnKit)이라는 이름을 붙였다.
“폰킷은 매우 위험한 취약점입니다. 연관된 리눅스 배포판이 널리 사용되고 있으며, 취약점 익스플로잇이 매우 쉽기 때문입니다.” 퀄리스의 취약점 분석 책임자인 바랏 조기(Bharat Jogi)의 설명이다. “현대 IT 인프라는 리눅스에 대한 의존도가 대단히 높은 편입니다. 그리고 그러한 사실을 인지하지 못하는 IT 담당자들도 상당히 많습니다. 폰킷 취약점은 12년도 넘게 거의 모든 리눅스 배포판에 존재해왔던 취약점이라 누군가는 이미 알고 있을 가능성도 높습니다. 패치를 미루지 않는 것이 좋습니다.”
빠르게 패치를 진행해야 한다는 퀄리스의 권고에 힘이 실리는 사건도 바로 어제 밤에 발생했다. 크로아티아의 보안 전문가인 보얀 츠드르냐(Bojan Zdrnja)가 퀄리스의 취약점 설명서만 보고 익스플로잇을 재현하는 데 성공한 것이다. 츠드르냐는 SANS 인스티튜터의 블로그 게시글을 통해 “아주 간단한 익스플로잇으로 공격에 성공했고, 안정성도 100%”라고 밝혔다. 실험 대상이 되었던 건 우분투 20.04 버전이었다. 츠드르냐는 “공격용 익스플로잇 코드가 조만간 나올 것이 분명해 보인다”고 주장했다.
원래 ‘로컬’ 권한 상승 취약점은 보안 전문가들 사이에서 크게 중요치 않은 존재였다. 원격에서 익스플로잇이 되지 않는다는 뜻이기 때문이다. 공격 대상이 되는 컴퓨터에 직접 접근해야만 하니 실제 공격 가능성은 매우 낮은 것으로 취급되었다. “하지만 요즘 공격자들은 하나의 취약점만을 공략하지 않습니다. 여러 취약점을 연쇄적으로 발동시키고 익스플로잇 하는데, 이런 경우 로컬 취약점도 얼마든지 활용될 수 있죠.” 트렌드마이크로(Trend Micro)의 더스틴 차일즈(Dustin Childs)의 설명이다.
“시대가 바뀌었어요. 이제는 로컬 권한 상승 취약점들도 매우 위험하고 심각한 것으로서 인지하고 조치를 취해야 합니다. 옛날에야 공격자가 물리적으로 접근해서 익스플로잇 했지만 요즘은 다른 코드 실행 취약점들과 같이 엮어서 익스플로잇 하기 때문에 그럴 필요가 없어졌어요. 주로 각종 멀웨어 유포자들과 랜섬웨어 공격자들이 연쇄 익스플로잇 방식을 애용합니다.”
폰킷은 폴킷의 가장 중요한 실행 파일인 pkexec의 아규먼트 처리 방식과 관련이 있는 것으로, 메모리에 저장된 데이터를 조작하게 해 주는 취약점이다. “아무런 아규먼트를 전송하지 않을 경우, pkexec는 갑자기 익스플로잇이 가능한 상태가 됩니다. 이 상태의 취약점에는 CVE-2021-4034라는 관리 번호가 부여됐습니다.” 퀄리스는 “이 파일은 거의 모든 리눅스 시스템에서 발견되고 있어서 파급력이 큽니다.”
조기는 “현대 인프라 보안에 있어서 리눅스의 보호가 얼마나 중요한 위치를 차지하고 있는지를 알려주는 취약점”이라고 해석한다. “리눅스 취약점 관리에 실패할 경우 대단히 민감하고 중요한 자산이 무력하게 노출될 수 있습니다. 이는 거의 모든 산업군에 해당하는 이야기이며, 따라서 당분간 리눅스 보호가 보안 업체의 중요 이슈가 될 것으로 보입니다. 이미 리눅스용 랜섬웨어들이 대거 등장하고 있기도 하고요.”
요즘 들어 리눅스와 관련된 보안 소식들이 자꾸만 나온다는 건 클라우드 생태계가 위험해질 수 있다는 뜻도 된다고 트러스트웨이브(Trustwave)의 보안 전문가 칼 시글러(Karl Sigler)는 지적한다. “클라우드 기반 시스템들 대다수가 리눅스를 기본으로 하고 있죠. 폰킷 취약점에 영향을 받는 서비스가 많을 것입니다. 이는 클라우드 서비스 제공 업체는 물론 사용자 기업들도 꼼꼼하게 살펴야 하는 문제입니다.”
위 게시글에 문제가 있을 시 삭제하겠습니다.
댓글 없음:
참고: 블로그의 회원만 댓글을 작성할 수 있습니다.