[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ´ë¸¸ÀÇ NAS Á¦Á¶»çÀΠť³À(QNAP)ÀÌ ÀÚ»ç Á¦Ç° ÀϺο¡¼ ½É°¢ÇÑ ¸®´ª½º °ü·Ã Ãë¾àÁ¡À» ¹ß°ßÇß´Ù°í ¹ßÇ¥Çß´Ù. ÀÌ Ãë¾àÁ¡Àº ´õƼÆÄÀÌÇÁ(Dirty Pipe)¶ó°í ºÒ¸®¸ç, Áö³ ÁÖ¿¡ óÀ½À¸·Î ¹ß°ßµÆ´Ù. ´õƼÆÄÀÌÇÁ Ãë¾àÁ¡ÀÇ ¿µÇâ·Â ȤÀº Æı޷ÂÀÌ ¸Å¿ì ³ÐÀ» ¼ö ÀÖÀ½À» ½Ã»çÇÏ´Â ¹ßÇ¥ ³»¿ëÀÌ´Ù.
[À̹ÌÁö = utoimage]
´õƼÆÄÀÌÇÁ´Â ¸ðµç ¸®´ª½º Ä¿³Î(5.8~5.16.11, 5.15.25, 5.10.102 ÀÌÀü ¹öÀü)¿¡ Á¸ÀçÇÏ´Â ±ÇÇÑ »ó½Â Ãë¾àÁ¡ÀÌ´Ù. º¸¾È Àü¹®°¡ÀÎ ¸Æ½º ÄÌ·¯¸¸(Max Kellerman)ÀÌ Ã³À½ ¹ß°ßÇßÀ¸¸ç, ºÎ¿©µÈ °ü¸® ¹øÈ£´Â CVE-2022-0847ÀÌ´Ù. Áö³ ÁÖ ÀÌ Ãë¾àÁ¡À» ¹ß°ßÇÑ ÄÌ·¯¸¸Àº °³³ä Áõ¸í¿ë ÀͽºÇ÷ÎÀÕµµ ÇÔ²² ¹ßÇ¥Çß¾ú´Ù. ÇöÀç ¸®´ª½º Ä¿³Î ÃֽŠ¹öÀüÀ» ÅëÇØ ´õƼÆÄÀÌÇÁ´Â ÇØ°áÀÌ µÈ »óÅ´Ù. ¶ÇÇÑ ½ÇÁ¦ °ø°Ý »ç·Êµµ ¾ÆÁ÷Àº Á¸ÀçÇÏÁö ¾Ê´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù.
ÇÏÁö¸¸ ´õƼÆÄÀÌÇÁ´Â ¸®´ª½º Ä¿³Î 5.8 ÀÌ»ó ¹öÀüÀ» ±â¹ÝÀ¸·Î ÇÑ ¸ðµç Àåºñµé¿¡ Á¸ÀçÇÑ´Ù. ÃֽŠ¾Èµå·ÎÀ̵å 12 ±â¹Ý ÀåºñÀÎ ±¸±Û Çȼ¿ 6°ú °¶·°½Ã S22°¡ ¿©±â¿¡ Æ÷ÇԵȴÙ. ¶ÇÇÑ ÀͽºÇ÷ÎÀÕ ¹æ¹ýÀÌ ¿©·¯ °³À̱⵵ ÇÏ´Ù. ÀÌ ¶§¹®¿¡ ¹Ì±¹ »çÀ̹ö º¸¾È ´ã´ç ±â°üÀÎ CISA´Â ´õƼÆÄÀÌÇÁ Ãë¾àÁ¡À» ¹Ì¸® Á¶»çÇؼ ÆÐÄ¡¸¦ Àû¿ëÇ϶ó´Â ±Ç°í¹®À» ±ä±ÞÇÏ°Ô ³»³õ±âµµ Çß´Ù.
º¸¾È ¾÷ü Ä«½ºÆÛ½ºÅ°(Kaspersky)ÀÇ ¼ö¼® º¸¾È Àü¹®°¡ÀÎ ¾ß·Î½½¶óºê ½´¸á·¹ºê(Yaroslav Shmelev)´Â ¡°´õƼÆÄÀÌÇÁ Ãë¾àÁ¡Àº ±ÇÇÑÀÌ ³·Àº ·ÎÄà »ç¿ëÀÚ°¡ ·çÆ® ±ÇÇÑ(ÃÖ°í ±ÇÇÑ)À» °¡Á®°¥ ¼ö ÀÖµµ·Ï ÇØ Áش١±°í ¼³¸íÇÑ´Ù. ¡°À̸¦ ÅëÇØ ·ÎÄà »ç¿ëÀÚ´Â »õ·Î¿î ½ºÄÉÁÙÀ» »ý¼ºÇϰųª, SUID ¹ÙÀ̳ʸ®¸¦ ÇÏÀÌÀçÅ·Çϰųª, ºñ¹Ð¹øÈ£¸¦ Á¶ÀÛÇÏ´Â µî °¢Á¾ ¾Ç¼º ÇàÀ§¸¦ ÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù.¡±
NAS Àåºñ¿¡ ÀÌ °ø°ÝÀÌ µé¾î°¥ °æ¿ì °ø°ÝÀÚ´Â ½Ã½ºÅÛ ³» ÀúÀåµÈ ¸ðµç µ¥ÀÌÅÍ¿¡ Á¢±ÙÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ¡°»Ó¸¸ ¾Æ´Ï¶ó ·çÆ® ±ÇÇÑÀ» À¯ÁöÇÑ Ã¤ Áö¼ÓÀûÀ¸·Î °ø°ÝÀ» ½Ç½ÃÇÒ ¼öµµ ÀÖ°Ô µË´Ï´Ù. ÇÑ ¹ø¿¡ ³¡³ª´Â °ø°ÝÀÌ ¾Æ´Ï¶ó´Â °ÍÀÌÁÒ. À̸¦ ÅëÇØ ÀڽŵéÀÇ ÈçÀûÀ» ¸»²ûÈ÷ Áö¿ö³»´Â °Íµµ °¡´ÉÇÏ°í¿ä. ±ÇÇÑÀÌ ³ôÀº ½Ã½ºÅÛ ¼ºñ½ºµéÀ» »ç¿ëÇØ »ç¿ëÀÚ Å©¸®µ§¼ÈÀ» È®º¸ÇÒ ¼öµµ ÀÖÁÒ.¡±
Å¥³ÀÀº ÀÚ»ç Àåºñµé Áß x86À» ±â¹ÝÀ¸·Î ÇÑ ¸ðµç NAS Àåºñ¿Í ÀϺΠARM ±â¹Ý ÀåºñµéÀÌ ´õƼÆÄÀÌÇÁ ÀͽºÇ÷ÎÀÕ¿¡ ħÇØµÉ ¼ö ÀÖ´Ù°í °æ°íÇß´Ù. ƯÈ÷ OSÀÎ QTS 5.0.x ¹öÀü°ú QuTS È÷¾î·Î h5.0.x ¹öÀüÀÌ À§ÇèÇÑ °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. ¡°Ãë¾àÁ¡ ÀͽºÇ÷ÎÀÕÀ» ÅëÇØ °ø°ÝÀÚ´Â ÀÚ½ÅÀÇ ±ÇÇÑÀ» »ó½Â½ÃÅ°°í ÀÓÀÇÀÇ Äڵ带 ÁÖÀÔÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. ÆÐÄ¡¸¦ °³¹ßÇÏ´Â ´ë·Î ¹èÆ÷ÇÏ°Ú½À´Ï´Ù¸¸ ¾ÆÁ÷±îÁö À§Çè ¿ÏÈ ¹æ¹ýÀº µüÈ÷ ¾ø½À´Ï´Ù.¡±
ÄÌ·¯¸¸¿¡ µû¸£¸é ´õƼÆÄÀÌÇÁ´Â 2016³â ¸®´ª½º Ä¿³Î¿¡¼ ¹ß°ßµÈ ´õƼī¿ì(Dirty Cow) Ãë¾àÁ¡°ú ºñ½ÁÇÑ ¸é¸ð¸¦ °¡Áö°í ÀÖ´Ù°í ÇÑ´Ù. ÇÑ °¡Áö ´Ù¸¥ Á¡ÀÌ ÀÖ´Ù¸é ÀͽºÇ÷ÎÀÕÀÌ ÈξÀ ½±´Ù´Â °ÍÀÌ´Ù. ´õƼī¿ì´Â CVE-2016-5195¶ó´Â À̸§À¸·Î °ü¸®µÇ°í ÀÖÀ¸¸ç, Ä¿³Î ¸Þ¸ð¸® ÇÏÀ§ ½Ã½ºÅÛÀÎ ¡®Ä«Çǿ¶óÀÌÆ®(copy-on-write, COW)¡¯¿Í °ü·ÃÀÌ ÀÖ´Ù. ¡°´õƼī¿ì Ãë¾àÁ¡ÀÌ ³ª¿Â Áö 6³âÀÌ ´Ù µÇ¾î °¡´Âµ¥, ¾ÆÁ÷µµ Ãë¾àÇÑ ÀåºñµéÀÌ Á¸ÀçÇÏ°í, À̸¦ ÀͽºÇ÷ÎÀÕ ÇÏ´Â °ø°ÝÀÚµéÀÌ Á¸ÀçÇÕ´Ï´Ù.¡±
½´¸á·¹ºê´Â ¡°Æ¯Á¤ ¾×¼ÇÀ» ½ÇÇàÇÏ°í ÆÄÀÌÇÁ¸¦ »ý¼ºÇÒ ¶§ ´õƼÆÄÀÌÇÁ Ãë¾àÁ¡ÀÌ ¹ßµ¿µÈ´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°¹ßµ¿µÈ ÈÄ °ø°ÝÀÚ´Â ¾Æ¹« ÆÄÀÏÀÇ ÄÜÅÙÃ÷³ª ÀÓÀÇ·Î Á¶ÀÛÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. Àбâ Àü¿ë ÆÄÀÏÀÌ´õ¶óµµ °ø°ÝÀÚ°¡ ¹Ù²Ü ¼ö ÀÖ°Ô µÇ´Â °ÍÀÌÁÒ. °ø°Ý ¹æ¹ýÀÌ ¸Å¿ì °£´ÜÇÕ´Ï´Ù. ÀͽºÇ÷ÎÀÕÀÇ ¼Ò½ºÄڵ带 ÄÄÆÄÀϸµ ÇÑ ÈÄ Ä§ÇØµÈ ½Ã½ºÅÛ¿¡¼ ½ÇÇàÆÄÀÏÀ» ½ÇÇà½ÃÅ°±â¸¸ ÇÏ¸é ³¡ÀÔ´Ï´Ù.¡±
´ÙÇàÈ÷ ¸ðµç ¸®´ª½º ¹èÆ÷ÆÇ¿¡¼ ÀÌ¹Ì ÆÐÄ¡°¡ ÁøÇàµÆ°í, ÀÏ¹Ý ¸®´ª½º Ä¿³Î Ãë¾àÁ¡ ÆÐġó·³ ÆÐÄ¡ÇÏ¸é µÈ´Ù°í ½´¸á·¹ºê´Â ¼³¸íÇÑ´Ù. ¡°ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ·Á¸é ¹°¸®ÀûÀ¸·Î Àåºñ¿¡ Á¢±ÙÇÒ ¼ö ÀÖ¾î¾ß ÇÕ´Ï´Ù. ±×·¯¹Ç·Î ¸®´ª½º ¼¹ö¿¡ ´ëÇÑ ¹°¸®Àû Á¢±ÙÀ» Á¦¾îÇÒ °æ¿ì À§ÇèÀ» Å©°Ô ¿ÏȽÃų ¼ö ÀÖ½À´Ï´Ù. ¹°·Ð ±×·¸´Ù°í Çصµ ¶Õ¾î³¾ °ø°ÝÀÚµéÀº ´Ù ¶Õ¾î³»Áö¸¸¿ä.¡± VM¿þ¾îÀÇ ¼ö¼® ÀÎÅÚ¸®Àü½º ±¹ÀåÀÎ Áö¿À¹Ý´Ï ºñ±×³ª(Giovanni Vigna)ÀÇ ¼³¸íÀÌ´Ù.
¡°°Å±â¿¡´Ù°¡ ¸¸ÀÏÀ» ´ëºñÇØ ¸ÁºÐ¸®±îÁö ÇØ µÐ´Ù¸é °ø°ÝÀÚµéÀÌ ¾ò¾î°¥ ¼ö ÀÖ´Â °Ô Å©°Ô Àû¾îÁý´Ï´Ù. ´õƼÆÄÀÌÇÁ ÆÐÄ¡°¡ Èûµé °æ¿ì ¹°¸® Á¢±Ù Á¦ÇÑ°ú ¸ÁºÐ¸®¸¦ ÇØ¾ß ÇÔÀ» ÀØÁö ¸¶¼¼¿ä. ´Ù¸¸ ÆÐÄ¡°¡ ÈξÀ ½±°í È¿°úÀûÀÎ ¹æ¾î¹ýÀ̶ó´Â °Íµµ ÀØÀ¸¸é ¾È µÇ°í¿ä.¡±
ÇÑÆí ºñ±×³ª´Â ¡°ÃÖ±Ù °ø°ÝÀÚµéÀÌ ¸®´ª½º¸¦ °Ü³ÉÇÑ °ø°ÝÀÇ ¼öÀ§¸¦ ³ôÀÌ°í ÀÖ´Ù´Â °Íµµ ¿°µÎ¿¡ µÎ°í ÀÖ¾î¾ß ÇÑ´Ù¡±°í ¸»ÇÑ´Ù. ¡°°í±Þ °ø°ÝÀº À©µµ ±â¹Ý ½Ã½ºÅ۵鿡¼ ÁÖ·Î ÀϾ¾ú¾î¿ä. ÇÏÁö¸¸ ÃÖ±Ù¿¡´Â ¸ð¹ÙÀÏ°ú ¸®´ª½º Àåºñµé¿¡¼µµ °í±Þ °ø°ÝÀÌ ºó¹øÇÏ°Ô ÀϾÁÒ. ¸®´ª½º ±â¹Ý ½Ã½ºÅÛµéÀº ¸ð¹ÙÀÏ È¯°æ°ú »ç¹°ÀÎÅÍ³Ý È¯°æÀÇ Áß¿äÇÑ ¿ä¼ÒÀ̱⠶§¹®¿¡ ¾ÕÀ¸·Îµµ °ø°ÝÀÚµéÀÇ °ü½ÉÀº ½ÄÁö ¾ÊÀ» °ÍÀ¸·Î º¸ÀÔ´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. Áö³ ÁÖ, ¸®´ª½º Ä¿³Î ±ÇÇÑ »ó½Â Ãë¾àÁ¡ÀÎ ´õƼÆÄÀÌÇÁ°¡ óÀ½ ¹ß°ßµÊ.
2. ±×·±µ¥ Å¥³À»çÀÇ NAS Àåºñµé ÀϺο¡¼ ÀÌ Ãë¾àÁ¡ÀÌ ¹ß°ßµÊ.
3. ¹°¸®ÀûÀ¸·Î Á¢±Ù¸¸ ÇÏ¸é ½±°Ô ±ÇÇÑ »ó½Â½ÃÄÑ ¾Æ¹« ¾Ç¼º ÇàÀ§³ª ÇÒ ¼ö ÀÖ°Ô ÇØ ÁÖ´Â Ãë¾àÁ¡.
* Å¥³À(QNAP) ÃøÀº ÇØ´ç ±â»ç¿Í °ü·ÃÇؼ ¾ÈÀüÇÑ ¸Á º¸È£¿Í °èÁ¤ º¸È£°¡ À¯ÁöµÇ´Â »óŶó¸é ´õƼÆÄÀÌÇÁ Ãë¾àÁ¡¿¡ ¾ÈÀüÇÏ´Ù¸ç, ¾ÈÀüÇÏ°Ô NAS¸¦ »ç¿ëÇϱâ À§ÇÑ ¹æ¹ý(¸ðµç Á¦Á¶»ç °øÅë»çÇ×)À» Á¦½ÃÇß´Ù.
¾ÈÀüÇÏ°Ô NAS¸¦ »ç¿ëÇϱâ À§ÇÑ ¹æ¹ý(¸ðµç Á¦Á¶»ç °øÅë»çÇ×)
[±â±â·ÎÀÇ Á¢±ÙÀ» ¾ÈÀüÇÏ°Ô]
1. ºÒÇÊ¿äÇÑ Æ÷Æ®Æ÷¿öµù »ç¿ë Áö¾ç(ºÒÇÊ¿äÇÑ Æ÷Æ® »ç¿ë±ÝÁö)
2. VPNÀ̳ª https ±â¹ÝÀ¸·Î ¿ÜºÎ¿¡¼ÀÇ ±â±â Á¢±Ù ÇÊ¿ä
3. SSH¿Í ÅÚ³ÝÀÇ ºñÈ°¼ºÈ
4. uPNP ºñÈ°¼ºÈ
5. Æ÷Æ®¹øÈ£ º¯°æ(=80, 8080, 443µî ±âº» Æ÷Æ®¹øÈ£¸¦ º¯°æ)
6. °øÀ¯±â Æß¿þ¾î ÀÚµ¿ ¾÷µ¥ÀÌÆ®
[±â±â ·Î±×ÀÎÀ» ¾ÈÀüÇÏ°Ô]
1. ±âº» Admin °èÁ¤ ºñÈ°¼ºÈ
2. °·ÂÇÑ ºñ¹Ð¹øÈ£ »ç¿ë
3. 2Â÷ ÀÎÁõ »ç¿ë(2-step verification)
4. ÀÚµ¿ ¾÷µ¥ÀÌÆ® È°¼ºÈ
5. Áß¿ä ¾îÇðú ÆÄÀÏ°ú Æú´õ´Â Àΰ¡¹ÞÀº »ç¿ëÀÚ¿¡°Ô¸¸ Àбâ/¾²±â ±ÇÇÑ ºÎ¿©
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>