15개 유명 IT 기업들이 만든 서버들, BMC 펌웨어 취약점에 노출돼

입력 : 2023-02-01 15:37

세계 곳곳의 서버 장비들에는 BMC라는 펌웨어들이 존재한다. 그런데 이 펌웨어에 취약점이 5개나 발견됐다. 이 때문에 적잖은 서버들이 공격에 노출될 것으로 예상되는데, 다행히 패치가 나오는 중이다. 이제 이를 빠르게 가져다가 적용하면 된다. 그런데 그 적용 사례가 좀처럼 나오지 않고 있다.

[보안뉴스 문가용 기자] 15개 유명 회사에서 만든 서버들 내 BMC 펌웨어에서 다섯 가지 취약점이 발견됐다. 이 취약점들을 익스플로잇 하는 데 성공하면 데이터센터와 클라우드 생태계에서 널리 사용되는 시스템들을 원격에서 침해할 수 있게 된다고 한다. 이 연구 결과에 영향을 받는 벤더사는 AMD, 에이서스(Asus), ARM, 델(Dell), EMC, HP엔터프라이즈(HP Enterprise), 화웨이(Huawei), 레노버(Lenovo), 엔비디아(Nvidia) 등이다.


보안 업체 에클립시움(Eclypsium)이 지난 12월 세 개의 취약점을 먼저 발견해 공개했다. 하지만 패치 개발에 더 시간을 주기 위해 이번 주까지 남은 두 개의 정보는 공개하지 않았었다. 에클립시움의 수석 첩보 분석가인 네이트 워필드(Nate Warfield)는 “이번에 공개된 취약점들은 서버들이 인터넷에 직접 연결되어 있어야만 익스플로잇이 가능하다”고 설명한다.

“이 취약점이 어느 정도까지 피해를 입힐 수 있는지, 파장이 어느 정도나 될지는 아무도 예측할 수 없습니다. 벤더사들이 취약한 서버를 얼마나 판매했는지, 사용자가 몇 명이나 되는지부터 파악해야 하는데, 그것부터 해결되지 않습니다.”

BMC 펌웨어들은 보통 단일 칩 혹은 SoC(시스템 온 칩) 형태를 가지고 있다. 머더보드에 탑재되며 관리자들이 원격에서 서버를 관리할 수 있도록 해 준다. 사실상 서버에 물리적으로 접근하여 관리하는 것과 거의 동일한 수준의 제어 권한을 관리자에게 주는 것으로 알려져 있다.

에클립시움이 분석한 건 AMI의 메가랙(MegaRAC) 제품으로, 오픈 BMC(Open BMC) 펌웨어 프로젝트를 바탕으로 만들어진 소프트웨어 컬렉션이다. 오픈 BMC는 오픈소스 프로젝트로, BMC 펌웨어를 유지 관리하도록 해 준다.

많은 서버 제조사들이 BMC 소프트웨어/펌웨어에 의존한다. 전 세계 수많은 서버 관리자들 역시 바로 이 BMC에 의존하여 서버를 원격에서 관리할 수 있다는 걸 당연하게 여긴다. “그 만큼 이 BMC라는 게 널리 사용되고 있다는 뜻이고, 그 때문에 이번에 발견된 취약점 5개의 파장은 꽤나 클 것으로 예상합니다. 정확히 파악하는 건 아직 불가능하지만요.”

5개의 취약점
12월이 지나고 1월 30일에 뒤늦게 공개된 취약점들은 다음과 같다.
1) CVE-2022-26872 : 비밀번호 리셋을 가능하게 하는 저위험군 취약점.
2) CVE-2022-40258 : 비밀번호 해싱 알고리즘이 매우 약함. 저위험군 취약점.

이 두 개의 취약점은 12월에 발견된 취약점들보다 심각성이 높지 않다. 12월의 취약점은 다음과 같다.
1) CVE-2022-40259 : BMC API에서 발견된 위험한 명령 실행 취약점.
2) CVE-2022-40242 : 디폴트 크리덴셜을 통해 원격 코드 실행을 가능하게 하는 취약점.
3) CVE-2022-2827 : 원격에서 사용자 이름 목록을 만들 수 있게 해 주는 취약점.

패치 비율, 아직 알려지지 않아
에클립시움의 직접적인 분석 대상이 되었던 AMI는 다섯 개 취약점에 대한 패치를 전부 개발해 배포하고 있다. 다만 이 패치를 서버에 적용하느냐 마느냐는 서버를 직접 관리하고 있는 사용자들의 몫이다. 즉 서버 제조사들의 몫은 패치 개발과 함께 끝나고, 안전에 대한 책임은 사용자가 직접 져야 한다는 것이다. 실제로 HPE, 인텔(Intel), 레노버 등은 이미 패치를 개발해 배포했다.

하지만 서버 패치라는 건 사용자 단에서 ‘결심’만 가지고 진행하기에 여러 가지 어려움들을 내포하고 있다. 서버 패치는 매우 느려, 많은 시간을 필요로 하는 게 보통이다. 또한 클라우드나 데이터센터들의 경우 단 한 순간도 가동이 중단되면 안 되는 곳들도 상당히 많은 비율을 차지한다. 한 번 꺼두는 것도 부담스러운데, 오랜 시간 꺼두어야 한다는 것이다.

워필드는 “그래서 패치가 배포되기 시작하는 시간과, 패치가 실제 사용자 단에서 적용되는 시간 사이에 큰 간극이 존재한다”고 설명한다. “서버와 펌웨어라는 것의 특성상 패치가 부담스러운 게 이해 못할 것도 아닙니다만, 그걸 저희가 이해한다고 해서 공격자들이 사정을 봐주는 게 아닙니다. 사정이 어쨌든 해커들은 취약한 곳을 기쁘게 공략합니다.”

3줄 요약
1. 서버들에 널리 설치되어 있는 BMC 펌웨어에서 취약점 5개 발굴됨.
2. 이 취약점들에 대한 패치를 여러 제조사들이 만들어 배포해야 하고, 이미 시작됨.
3. 사용자들 입장에서 부담스러울 수 있겠지만 패치는 반드시 해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 3

  FBI는 어떻게 사이버 범죄자들을 소탕했을까...

• 4

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 5

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  [Security China 2024 취재記...

• 3

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 4

  해킹그룹 어웨이큰리코, ‘메시에이전트’라는 ...

• 5

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 1

  윈도 다운그레이드를 통해 취약점을 부활시키는...

• 2

  [긴급] 삼성 일부 모바일 프로세서에서 취약...

• 3

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 4

  OT 환경에서의 인증 취약점 악용 공격 급증...

• 5

  ‘건강검진 사칭’ 문자 주의보! 공식 문자에...