Home > 전체기사
구글 크롬에서 발견된 UaF 취약점, 공격자들이 사용하고 있다
  |  입력 : 2019-03-07 10:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
CVE-2019-5786, 파일리더 API에서 발견된 UaF 취약점
임의의 코드를 실행시킬 수 있게 해줌...다양한 공격 가능해


[보안뉴스 문가용 기자] 구글이 지난 주 패치한 크롬 취약점이 이미 사이버 공격자들의 손에서 악용되고 있다는 소식이다. 이는 CVE-2019-5786으로, 고위험군에 속하며, 웹 앱들이 컴퓨터에 저장된 파일의 콘텐츠를 읽을 수 있도록 해주는 API인 파일리더(FileReader)에서 발견됐다. 일종의 UaF 취약점이다.

[이미지 = iclickart]


지난 2월 취약점을 처음 발견한 건 구글의 위협 분석 그룹(Threat Analysis Group)의 클레멘트 르사인(Clement Lecigne)이라는 보안 전문가다. 이를 보고 받은 구글은 3월 1일에 윈도우, 맥, 리눅스용 크롬 72.0.3626.121 버전을 발표하며 취약점을 패치했다.

그런데 이번 주 화요일 구글은 해당 취약점에 대한 익스플로잇이 이미 존재할 뿐만 아니라 해커들이 사용 중에 있다는 걸 확인했다고 발표했다. 구글 보안 팀은 트위터를 통해 크롬 사용자들에게 “최대한 빨리 크롬을 업데이트 하라”고 권고했다.

“구글은 CVE-2019-5786 취약점에 대한 익스플로잇이 이미 존재하고 있으며, 사이버 범죄자들의 실제 공격에 활용되고 있다는 걸 인지하고 있습니다.” 구글은 화요일 발표된 업데이트 권고문을 통해 이와 같이 밝혔다.

이 취약점은 특수하게 조작된 웹 페이지로 사용자를 강제 우회시킬 때 발동되며, 공격자의 임의 코드 실행을 가능하게 만들어준다고 인터넷보안센터(Center for Internet Security, CIS)는 권고문을 통해 설명했다.

“이 취약점을 성공적으로 익스플로잇 하면, 공격자가 임의의 코드를 브라우저 컨텍스트에서 실행할 수 있게 됩니다. 애플리케이션의 권한에 따라 조금씩 달라지긴 하지만, 공격자가 프로그램을 설치하거나, 데이터를 열람, 조작, 삭제할 수 있게 됩니다. 심지어 권한이 높은 사용자 계정을 새로 만드는 것도 가능하게 됩니다.”

지난 주 익스플로잇 탐지 서비스인 엣지스폿(EdgeSpot)은 “크롬의 제로데이 취약점을 익스플로잇 하기 위한 PDF 파일들이 사이버 공간에서 돌아다니고 있는 걸 발견했다”고 발표했다. 엣지스폿은 해당 문서가 최소 12월부터 돌아다니기 시작했지만 아직 픽스가 공개되지 않은 상태라고도 덧붙였다.

게다가 크롬은 PDF 파일들이 정보를 전송할 때 사용자들에게 특별히 경고를 하거나 알리지 않아서 문제가 더 커진다. 일부 보안 전문가들은 “그렇기 때문에(크롬이 사용자에게 알리지 않는 특성 때문에) 발생하는 문제이지, 제로데이라는 이름은 적절치 않다”는 의견을 내비치기도 했다.

한편 PDF 파일을 통해 사용자 데이터를 수집할 수 있게 해주는 취약점이 각종 PDF 파일 뷰어 프로그램에서 발견되기도 했다. 이에 어도비는 리더(Reader)의 패치를 발표한 바 있다.

3줄 요약
1. 구글 크롬에서 발견된 CVE-2019-5786은 UaF 취약점. 익스플로잇이 돌아다니고 있음.
2. 사용자를 특수하게 조작된 웹사이트로 우회시켜, 임의 명령을 실행시킬 수 있게 해줌.
3. 최신 크롬 업데이트를 적용해야만 공격을 받지 않을 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향