VM웨어, 해킹 대회서 발견된 취약점 긴급하게 패치

중국의 긱폰 대회서 공개된 가상 기계 탈출 취약점
VM웨어, 고객들에게 기술적인 세부 내용 공개하며 패치 배포

[보안뉴스 문가용 기자] VM웨어(VMware)가 최근 중국에서 열린 해킹 대회인 긱폰2018(GeekPwn2018)에서 공개된 가상 기계 탈출 취약점에 대한 패치를 긴급하게 개발, 발표했다.

[이미지 = iclickart]

중국의 기업인 킨 클라우드 테크(Keen Cloud Tech)가 주최하는 해킹 콘테스트인 긱폰은 2014년부터 시작된 대회로, 중요한 취약점들이 꽤나 많이 발굴되기도 했다. 그러면서 세계 보안 전문가 및 해커들로부터 관심을 받기 시작했고, 2017년부터는 미국에서도 같은 대회가 열렸다.

올해 열린 긱폰2018 행사는 중국 상해에서 10월 24~25일에 열렸다. 이 대회에 입상한 자들에게 줄 상금은 80만 달러였다.

많은 전문가들이 취약점 관련 보고서를 제출했는데, 그중 중국 보안 업체인 차이틴 테크(Chaitin Tech)에서 제출한 내용이 많은 관심을 끌었다. VM웨어에서 출시한 제품 일부에서 발견된 ‘게스트에서 호스트로의 탈출 취약점(guest-to-host escape vulnerability)’에 관한 것으로, VM웨어 제품 사용자들로서는 치명적인 버그였다. 여기에 차이틴 테크 측은 정보 노출 관련 버그도 하나 추가로 제보하기도 했다.

가상 기계 탈출 버그가 대회를 통해 알려지고 얼마 지나지 않아 차이틴 테크는 트위터를 통해 “VM웨어의 ESXi를 탈출해서 호스트 시스템의 루트 셸을 취득한 건 이번이 처음”이라고 발표했으며, 익스플로잇을 실제로 실행하는 것을 영상으로 녹화해 공개하기도 했다.

이에 VM웨어는 고객들에게 이 취약점에 대한 세부 내용을 알렸고 3일 후에는 패치와 권고문을 발표했다.

VM웨어에 의하면 취약점은 CVE-2018-6981과 CVE-2018-6982이며, vmxnet3 가상 기계 어댑터의 초기 설정이 되지 않은 스택 메모리 사용 버그의 일종이라고 한다.

CVE-2018-6981은 ESXi, 퓨전(Fusion), 워크스테이션(Workstation) 제품들에서 발견되는 것으로, 게스트 상태에서 호스트에 임의 코드를 실행할 수 있게 해준다. CVE-2018-6982는 ESXi에서만 발견된 취약점으로 호스트에서 게스트로의 정보 유출을 야기한다. VM웨어는 “취약점들이 vmxnet3 어댑터가 활성화 된 상태에서만 익스플로잇 가능하다”며 “다른 어댑터를 사용하면 취약점이 나타나지 않는다”고 발표하기도 했다.

VM웨어는 이 두 가지 취약점 모두에 대한 업데이트를 개발했고, 이를 현재 배포 중에 있다.

차이틴 테크의 보안 전문가들은 폰투온(Pwn2Own) 해킹 대회에서도 여러 차례 입상한 바 있다. 나름 이런 대회에서 입지를 잘 쌓아두고 있는 조직이라는 것이다. 하지만 긱폰 대회에서 VM웨어 제품의 취약점을 발표한 것으로 상금을 얼마나 받았는지는 아직 공개되지 않고 있다.

3줄 요약
1. 중국의 해킹 대회 긱폰, 중요한 취약점들 공개되며 중요한 대회로 부상 중.
2. 최근 VM웨어 제품에서 심각한 취약점이 두 가지 발견됨.
3. VM웨어는 이에 대한 패치를 긴급하게 개발해 발표했음.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)