큐냅과 시놀로지의 NAS 장비들에서 다수 취약점 발견돼

입력 : 2022-05-02 15:23

큐냅과 시놀로지의 장비들에 탑재된 오픈소스 프로토콜 네타토크에서 취약점이 다량으로 나왔다. 이 때문에 적잖은 NAS 장비들에 영향이 있다. 패치가 하나씩 나오고 있는 상황이라 당분간 패치 소식에 민감해질 필요가 있다.

[보안뉴스 문가용 기자] NAS 장비 제조사인 큐냅(QNAP)과 시놀로지(Synology)가 다량의 취약점 정보를 공개했다. 자사 제품에 통합된 오픈소스 파일 서버에서 발견된 것들이다. 일부는 원격 코드 실행을 가능하게 하며, 따라서 위험하다. 문제의 오픈소스 파일 서버는 애플 파일 프로토콜(Apple File Protocol)의 오픈소스 버전인 네타토크(Netatalk)라고 하며, 두 회사 모두 아직 패치를 내지 못하고 있다.


이번에 공개된 취약점은 총 6개며, 네타토크 유지 관리 책임자 측에 정보가 전달된 건 지난 12월이다. 다음과 같다.
1) CVE-2022-0194 : 원격 코드 실행을 유발하는 버퍼 오버플로우, 초고위험군
2) CVE-2022-23122 : 원격 코드 실행을 유발하는 버퍼 오버플로우, 초고위험군
3) CVE-2022-23125 : 원격 코드 실행을 유발하는 버퍼 오버플로우, 초고위험군
4) CVE-2022-23124 : 정보 노출 취약점, 중위험군
5) CVE-2022-23123 : 정보 노출 취약점, 중위험군
6) CVE-2022-23121 : 예외 규정 미처리, 초고위험군

보안 업체 트렌드 마이크로(Trend Micro)의 취약점 연구 수석인 브라이언 고렝크(Brian Gorenc)는 “6개 취약점 전부 2021년 11월 오스틴에서 진행된 폰트온(Pwn2Own) 대회에서 발견된 것”이라고 설명했다. 위 6개 취약점이 발견되기 한참 전인 2021년 3월에는 CVE-2021-31439라는 고위험군 원격 코드 실행 취약점이 네타토크에서 발견되기도 했었다. 네타토크 유지 관리 책임 주체는 지난 3월 23일 모든 7개 취약점이 해결된 3.1.13 버전을 배포했다.

고렝크는 “네타토크는 서드파티 요소로서 수많은 NAS 제조 업체들에서 사용한다”고 말한다. “이런 NAS 벤더들은 네타토크의 최신 버전을 늘 확인해서 제품에 반영시켜야 할 책임을 가지고 있습니다. 저희는 이번에 여러 NAS 업체들이 자발적으로 취약점 정보를 공개하고 패치를 서두르게 한 것이 매우 바람직하다고 보고 있습니다. 해킹 대회에서 발견된 취약점을 축소하거나 은폐하려는 예전 기업들의 행태가 정말 많이 사라졌습니다.”

이번에 발견된 네타토크 취약점의 영향을 받는 건 시놀로지와 큐냅 외에 웨스턴디지털(Western Digital)이라는 업체도 있다. 웨스턴디지털은 이미 올해 1월 10일 자사 제품들로부터 네타토크를 제거했고 관련 내용을 고지했다.

시놀로지의 보안 권고문에 의하면 이번에 발견된 네타토크 취약점은 민감한 정보에 대한 원격 공격을 가능하게 하기 때문에 매우 위험하다고 한다. 악성 행위자들은 이 취약점들을 통해 피해자의 NAS 장비들에 임의의 코드를 실행할 수 있게 된다고 하며, 이런 공격을 허용할 수 있는 소프트웨어는 디스크스테이션 매니저(DiskStation Manager)와 시놀로지 라우터 매니저(Synology Router Manager)라고 한다.

큐냅의 경우는 QTS OS 여러 버전들에서 네타토크 관련 취약점들을 발견했다고 하며, 현재 조사를 계속 이어가는 중이라고 한다. 또한 조사가 완료된 버전들부터 업데이트가 지속적으로 나올 것이라고 예고했다. 그러면서 취약점 패치가 나오는 대로 최대한 빠르게 시스템에 적용하라고 고객들에게 권고했다.

대만의 NAS 기업인 큐냅은 취약점 패치가 이뤄지기 전까지 고객들이 취할 수 있는 위험 완화 방법들도 일부 공개했다. 현재 큐냅이 패치를 미처 다 마련하지 못한 것은 CVE-2021-31439라고 한다. 1년 넘게 패치를 자사 제품용으로 전환시키지 못한 것이다. 패치 배포가 늦어지고 있는  이유에 대해서는 명확히 밝히지 않고 있다.

3줄 요약
1. NAS 기업 큐냅과 시놀로지, 제품에 영향 주는 취약점 발견해 발표.
2. 사실 장비 자체의 문제라기보다 제품에 통합된 오픈소스 요소인 네타토크가 문제의 근원.
3. 총 7개 취약점이 패치되어야 맞는 것인데, 아직 픽스가 나오는 중임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  통일부 대상 사이버 공격, 올해만 2,313...

• 2

  금융권 망분리 규제개선 3단계 키포인트

• 3

  마르코폴로, 차원이 다른 정보 탈취 캠페인을...

• 4

  윈도에 로그인한 프로필 라이브러리 공격하는 ...

• 5

  북한 IT 노동자들, 서방 국가들에 위장 취...

• 1

  [bnTV] 위험한 ‘중고거래’, 안전하지 ...

• 2

  미국 CISA, 이반티에서 발견된 취약점의 ...

• 3

  델, 이번 주에만 세 번의 정보 유출 사고 ...

• 4

  전 세계 ‘딥페이크 스캠 및 피싱’ 공격 확...

• 5

  마르코폴로, 차원이 다른 정보 탈취 캠페인을...

• 1

  KISIA 클라우드 보안 협의체, 금융권 망...

• 2

  제138차 CISO포럼, 개인정보보호 법적 ...

• 3

  [이슈인터뷰] ITU-T SG17 의장 2번...

• 4

  2024년 9월 셋째 주, ‘신입’ 정보보안...

• 5

  경찰청, 베트남 거점 최대 스미싱 범죄조직 ...