Home > 전체기사
필립스의 심혈관 촬영 및 관리 제품에서 취약점 두 개 발견
  |  입력 : 2018-08-21 16:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
CVE-2018-14787과 CVE-2018-14789...권한 상승과 임의 코드 실행
정식 패치는 10월에 나올 예정...완화 방법은 인터넷 노출 자제 및 방화벽 사용


[보안뉴스 문가용 기자] 필립스(Philips)에서 만든 심혈관 촬영 및 정보 관리 소프트웨어 다수에서 권한 상승 및 임의 코드 실행 취약점이 발견됐다. 첫 번째 취약점은 CVE-2018-14787로 CVSS 점수로 7.3을 기록했다(고위험군). 필립스에서 만든 ISCV(IntelliSpace Cardiovascular) 2.x과 그 이전 버전들과 Xcelera 4.1 및 이전 버전들에서 발견됐다.

[이미지 = iclickart]


지난 주 미국 국토안보부의 CERT팀이 발표한 경고문에 의하면, 공격자가 이 취약점을 성공적으로 익스플로잇 할 경우 권한을 상승시켜, 원래는 쓰기 인증까지 받은 사용자만이 접근할 수 있는 실행파일 폴더에 다가갈 수 있다고 한다. 그리고 거기서 로컬 관리자 권한을 취득해 임의의 코드를 실행시킬 수 있다고 한다.

필립스도 이 부분에 대해 권고문을 발표했다. “(언급된 버전의 소프트웨어에는) 20가지의 윈도우 기반 서비스들이 포함되어 있으며, 그 서비스들과 연결된 실행파일들이 한 폴더 내에 위치하고 있습니다. 이 폴더에는 쓰기 권한이 있는 사용자들만 접근할 수 있습니다. 로컬 권리자 계정 혹은 로컬 시스템 계정으로만 서비스들은 실행되며, 사용자가 이 실행파일을 다른 프로그램으로 대체할 경우, 그 프로그램도 로컬 관리자나 로컬 시스템 권한으로 돌아가게 됩니다.”

뿐만 아니라 CVE-2018-14789 취약점도 발견됐다. 이건 앞서 발견된 것보다 조금은 덜 위험하다고 분석되고 있다. 악성 행위자들이 권한을 상승시키고 임의의 코드를 실행시킬 수 있게 해주는 것으로 ISCV 3.1 혹은 그 이전 버전과 Xcelera 4.1 및 그 이전 버전에서 발견됐다. 필립스는 권고문을 통해 “(언급된 버전의 소프트웨어에는) 16가지의 윈도우 기반 서비스들이 포함되어 있으며, 그 서비스들의 경로 이름에 인용 부호가 첨부되지 않는 오류가 발견됐다”고 설명했다.

또한 “이 16가지 서비스들도 로컬 관리자 권한이 있어야만 실행 가능하며, 레지스트리 키로 시작해야 한다”고 설명했다. 그러면서 “이런 오류가 포함된 경로를 통해 사용자에게 로컬 관리자 권한을 부여할 수 있는 실행파일의 설치를 허용할 수 있다”고 경고했다.

하지만 이 버그가 가지고 있는 위험성은 그리 높지 않은데, 필립스에 의하면 그 이유는 “인증된 사용자가 먼저 로컬에서 ISCV 및 Xcelera 서버에 접근해야만 익스플로잇을 실시할 수 있기 때문”이다. 하지만 디폴트 설정 상 이러한 행위는 차단되어 있다.

필립스는 2018년 10월에 이 문제들에 대한 패치를 개발 완료 및 배포하겠다고 발표했다. 10월에는 ISCV 3.2 버전의 발표가 예정되어 있는데, 이 버전에서 문제들을 고치겠다는 것이다. 하지만 이 부분에 관해 CERT의 발표 내용은 조금 달랐다. CERT는 ISCV 2.x 및 이하 버전과 Xcelera 4.1 및 이하 버전의 문제가 올해 초 ISCV 3.1 버전의 발표 때 이미 어느 정도 해결되었다고 한 것이다.

여기서 차이점은 필립스가 약속한 건 패치(patch)이고, CERT가 말하는 건 완화 방법 및 장치인 mitigation이다. patch와 mitigation은 약간 다른 개념이다.

필립스가 10월에 정식 패치를 발표하기 전까지 사용자들은 어떻게 해야 할까? 필립스는 장비의 윈도우 설정을 변경하도록 권고하고 있다. 국토안보부는 언급된 소프트웨어가 설치된 장비를 인터넷에 최소한으로 노출시켜야 하며, 방화벽을 설치하고, 원격 접근 기능을 활성화할 때 특히나 안전한 프로토콜과 방법을 사용해야 한다고 권고했다.

3줄 요약
1. 필립스의 심혈관 모니터링 제품에서 취약점이 두 개 발견됨.
2. 둘 다 권한 상승 및 원격 코드 실행을 가능하게 해주는 취약점.
3. 공식 패치 10월에 나올 예정. 그 때까지는 인터넷 노출 최소화 하고, 방화벽 사용해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향