15개 유명 IT 기업들이 만든 서버들, BMC 펌웨어 취약점에 노출돼
세계 곳곳의 서버 장비들에는 BMC라는 펌웨어들이 존재한다.
그런데 이 펌웨어에 취약점이 5개나 발견됐다.
이 때문에 적잖은 서버들이 공격에 노출될 것으로 예상되는데, 다행히 패치가 나오는 중이다. 이제 이를 빠르게 가져다가 적용하면 된다.
그런데 그 적용 사례가 좀처럼 나오지 않고 있다.
15개 유명 회사에서 만든 서버들 내 BMC 펌웨어에서 다섯 가지 취약점이 발견됐다.
이 취약점들을 익스플로잇 하는 데 성공하면 데이터센터와 클라우드 생태계에서 널리 사용되는 시스템들을 원격에서 침해할 수 있게 된다고 한다.
이 연구 결과에 영향을 받는 벤더사는 AMD, 에이서스(Asus), ARM, 델(Dell), EMC, HP엔터프라이즈(HP Enterprise), 화웨이(Huawei), 레노버(Lenovo), 엔비디아(Nvidia) 등이다.
보안 업체 에클립시움(Eclypsium)이 지난 12월 세 개의 취약점을 먼저 발견해 공개했다.
하지만 패치 개발에 더 시간을 주기 위해 이번 주까지 남은 두 개의 정보는 공개하지 않았었다.
에클립시움의 수석 첩보 분석가인 네이트 워필드(Nate Warfield)는 “이번에 공개된 취약점들은 서버들이 인터넷에 직접 연결되어 있어야만 익스플로잇이 가능하다”고 설명한다.
“이 취약점이 어느 정도까지 피해를 입힐 수 있는지, 파장이 어느 정도나 될지는 아무도 예측할 수 없습니다.
벤더사들이 취약한 서버를 얼마나 판매했는지, 사용자가 몇 명이나 되는지부터 파악해야 하는데, 그것부터 해결되지 않습니다.”
BMC 펌웨어들은 보통 단일 칩 혹은 SoC(시스템 온 칩) 형태를 가지고 있다.
머더보드에 탑재되며 관리자들이 원격에서 서버를 관리할 수 있도록 해 준다.
사실상 서버에 물리적으로 접근하여 관리하는 것과 거의 동일한 수준의 제어 권한을 관리자에게 주는 것으로 알려져 있다.
에클립시움이 분석한 건 AMI의 메가랙(MegaRAC) 제품으로, 오픈 BMC(Open BMC) 펌웨어 프로젝트를 바탕으로 만들어진 소프트웨어 컬렉션이다.
오픈 BMC는 오픈소스 프로젝트로, BMC 펌웨어를 유지 관리하도록 해 준다.
많은 서버 제조사들이 BMC 소프트웨어/펌웨어에 의존한다.
전 세계 수많은 서버 관리자들 역시 바로 이 BMC에 의존하여 서버를 원격에서 관리할 수 있다는 걸 당연하게 여긴다.
“그 만큼 이 BMC라는 게 널리 사용되고 있다는 뜻이고, 그 때문에 이번에 발견된 취약점 5개의 파장은 꽤나 클 것으로 예상합니다.
정확히 파악하는 건 아직 불가능하지만요.”
5개의 취약점
12월이 지나고 1월 30일에 뒤늦게 공개된 취약점들은 다음과 같다.
1) CVE-2022-26872 : 비밀번호 리셋을 가능하게 하는 저위험군 취약점.
2) CVE-2022-40258 : 비밀번호 해싱 알고리즘이 매우 약함. 저위험군 취약점.
이 두 개의 취약점은 12월에 발견된 취약점들보다 심각성이 높지 않다. 12월의 취약점은 다음과 같다.
1) CVE-2022-40259 : BMC API에서 발견된 위험한 명령 실행 취약점.
2) CVE-2022-40242 : 디폴트 크리덴셜을 통해 원격 코드 실행을 가능하게 하는 취약점.
3) CVE-2022-2827 : 원격에서 사용자 이름 목록을 만들 수 있게 해 주는 취약점.
패치 비율, 아직 알려지지 않아
에클립시움의 직접적인 분석 대상이 되었던 AMI는 다섯 개 취약점에 대한 패치를 전부 개발해 배포하고 있다.
다만 이 패치를 서버에 적용하느냐 마느냐는 서버를 직접 관리하고 있는 사용자들의 몫이다.
즉 서버 제조사들의 몫은 패치 개발과 함께 끝나고, 안전에 대한 책임은 사용자가 직접 져야 한다는 것이다.
실제로 HPE, 인텔(Intel), 레노버 등은 이미 패치를 개발해 배포했다.
하지만 서버 패치라는 건 사용자 단에서 ‘결심’만 가지고 진행하기에 여러 가지 어려움들을 내포하고 있다.
서버 패치는 매우 느려, 많은 시간을 필요로 하는 게 보통이다.
또한 클라우드나 데이터센터들의 경우 단 한 순간도 가동이 중단되면 안 되는 곳들도 상당히 많은 비율을 차지한다.
한 번 꺼두는 것도 부담스러운데, 오랜 시간 꺼두어야 한다는 것이다.
워필드는 “그래서 패치가 배포되기 시작하는 시간과, 패치가 실제 사용자 단에서 적용되는 시간 사이에 큰 간극이 존재한다”고 설명한다.
“서버와 펌웨어라는 것의 특성상 패치가 부담스러운 게 이해 못할 것도 아닙니다만, 그걸 저희가 이해한다고 해서 공격자들이 사정을 봐주는 게 아닙니다.
사정이 어쨌든 해커들은 취약한 곳을 기쁘게 공략합니다.”
출처 : https://www.boannews.com/media/view.asp?idx=113892
위 포스팅이 문제될 시 삭제하겠습니다.
댓글 없음:
참고: 블로그의 회원만 댓글을 작성할 수 있습니다.