맥OS용 클리너인 클린마이맥 X에서 취약점 13개 발견

입력 : 2019-01-04 11:28

시스템 깨끗하게 청소해주는 앱에서 권한 상승 취약점 다량 나와
입력 값을 제대로 확인하지 않는 것이 문제의 근원...업데이트 필수

[보안뉴스 문가용 기자] 맥OS 사용자들 사이에서 인기가 높은 클리너 애플리케이션인 클린마이맥 X(CleanMyMac X)에서 다량의 취약점들이 발견됐다. 이를 익스플로잇 할 경우 루트 권한을 가지고 파일 시스템을 변경할 수 있다고, 시스코 탈로스(Cisco Talos) 팀이 발표했다.


클린마이맥은 맥포(MacPaw)가 개발한 소프트웨어로, 사용자들이 자신의 맥OS 기기를 스캔해서 불필요한 파일을 찾아내고 삭제할 수 있도록 해주는 기능을 가지고 있다. 뿐만 아니라 장비 최적화 및 퍼포먼스 모니터링 기능도 포함하고 있으며, 특정 멀웨어를 제거하는 것도 가능하다.

탈로스 팀은 클린마이맥 X 4.04 버전에서 총 13개의 취약점을 찾아냈는데, 이중 12개는 권한을 상승시켜주는 오류다. 나머지 하나는 디도스 공격을 가능하게 해주는 것이다.

CVE-2018-4032와 CVE-2018-4033 취약점은 권한 상승 오류를 일으키는 취약점들로 헬퍼 프로토콜 내 moveItemAtPath, truncateFileAtPath, removeKextAtPath라는 함수들에서 발견된다. 클린마이맥은 사용자가 입력한 값을 제대로 확인하지 않는데, 이 때문에 공격자는 nil을 함수에 집어넣어 다른 애플리케이션들로도 해당 함수들에 접근하고 파일을 삭제할 수 있게 해준다.

CVE-2018-4034, CVE-2018-4035, CVE-2018-4036은 각각 헬퍼 프로토콜의 removeItemAtPath, truncateFileAtPath, removeKextAtPath 함수에서 발견된 취약점들로, 위와 마찬가지로 입력 값을 공격자가 조작함으로써 다른 애플리케이션들을 통해서도 이 함수들에 접근할 수 있게 해준다. 그 후 공격자는 루트 파일 시스템에서 파일들을 삭제할 수 있게 된다.

CVE-2018-4037, CVE-2018-4041, CVE-2018-4042는 헬퍼 프로토콜의 removeDiagnosticsLogs, enableLaunchdAgentAtPath, removeLaunchdAgentAtPath 함수에서 발견되는 오류들이다. 익스플로잇에 성공할 경우 루트 권한이 없는 사용자가 메인 로그 데이터를 삭제할 수 있게 된다.

CVE-2018-4043과 CVE-2018-4044는 헬퍼 프로토콜의 removeASL과 removePackageWithID 함수에서 발견된 취약점들로, 익스플로잇 될 경우 루트 권한이 없는 사용자가 패키지의 비밀 정보를 삭제할 수 있게 된다.

마지막 권한 상승 취약점은 CVE-2018-4045다. 헬퍼 프로토콜의 securelyRemoveItemAtPath 내에 존재한다. 루트 권한이 없는 사용자가 루트 파일 시스템에서 파일을 마음대로 삭제할 수 있게 해준다.

클린마이맥 X의 헬퍼 서비스에는 이것들 외에도 디도스 취약점이 있는 것으로 발견됐다. 역시 입력 값을 제대로 확인하지 않기 때문에 발생하는 현상이다. 이 취약점은 pleaseTerminate 함수에 존재하며, 호출 애플리케이션의 인증 절차 부재로 인해 유발된다. 그래서 루트 데몬을 루트 권한이 없는 사용자가 종료시킬 수 있게 된다.

“클린마이맥 X 사용자들이라면 4.2.0 버전으로 업데이트 할 것을 권장합니다. 4.2.0은 최신 버전이며, 탈로스가 발견한 모든 취약점들이 해결된 상태입니다. 이전 버전의 경우, 공격자들이 여러 경로로 침투해 높은 권한을 취득할 수 있게 됩니다. 또한 파일 시스템을 공격자가 임의로 바꾸는 것도 가능합니다.” 탈로스의 결론이다.

3줄 요약
1. 유명 맥OS 클리너 앱에서 취약점 다수 발견됨.
2. 13개 중 12개는 권한을 상승시켜주는 취약점. 1개는 디도스 공격 취약점.
3. 클린마이맥 X 사용자라면 4.2.0 버전으로 업데이트 하는 것이 좋음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 2

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 3

  [한 주를 관통하는 보안 소식] 2024년 ...

• 4

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 5

  [퀴즈 이·보·소] 연말 앞둔 온라인 사기,...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  사이버 공격자들, 실제로 인공지능을 어떻게 ...

• 2

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 3

  개인정보 유출 사고 대응방안 논의... 공공...

• 4

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 5

  깃허브에서 활동하는 개발자들을 노리는 고급 ...