Home > 전체기사
델의 클라이언트 지원 툴에서 고위험군 취약점들 발견돼
  |  입력 : 2019-05-03 15:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
델 장비들에 대부분 기본 탑재되는 서포트어시스트 클라이언트, 취약
17세 소년이 발견한 취약점도 존재해...개념증명 코드가 공개되기도


[보안뉴스 문가용 기자] 델(Dell)의 클라이언트 지원 툴인 서포트어시스트 클라이언트(SupportAssist Client)에서 원격 코드 실행이나 CSRF 공격을 가능하게 해주는 고위험군 취약점이 발견됐다.

[이미지 = iclickart]


서포트어시스트는 사용자들이 PC에서 직접 보안 문제를 탐지하고 바이러스를 삭제하도록 해주는 도구로, 델이 제작한 장비들 대부분에 기본으로 설치된다. “델 서포트어시스트 클라이언트에서 최근 다량의 취약점이 발견됐고, 이에 대해 델은 업데이트를 배포합니다. 3.2.0.90 이전 버전을 사용하고 있다면 긴급히 패치할 것을 권합니다.” 델의 설명이다.

먼저 CVSS 점수 8점(10점 만점)을 받은 CVE-2019-3719는 원격 코드 실행을 가능케 해주는 것으로, 공격자가 익스플로잇 할 경우(사용자를 꼬드겨 소포트어시스트를 통해 실행파일을 다운로드 받고 실행시키도록 할 경우), 공격자가 다양한 공격 행위를 할 수 있게 된다. 다만 취약한 시스템과 네트워크 접근 층위가 공유되어야 한다.

이 취약점을 발견한 건 17세의 빌 데미르카피(Bill Demirkapi)라는 소년으로, 지난 화요일에 개념증명 코드를 공개하기도 했다. “서포트어시스트에는 ClientServiceHandler.ProcessRequest라는 기능이 있습니다. 중요한 무결성 확인용 기능으로, 서버가 들어온 요청이 확실히 델에서부터 온 것인지 확인하는 데 사용됩니다.”

데미르카피는 “이 기능을 통해 무작위의 하위 도메인 이름을 생성하고, 외부 기계를 사용해 DNS 하이재킹을 실시할 수 있었다”고 말한다. “그 상태에서 피해자가 무작위.dell.com에 뭔가를 요청했을 때, 공격용 서버로부터 응답을 돌려줄 수 있었습니다.”

무슨 뜻일까? 델 시스템을 사용하는 사람이 악성 웹사이트에 접속했을 때, 서포트어시스트를 속여 멀웨어를 다운로드하게 하고 실행시키는 것까지 가능하다는 것이다. 데미르카피가 이러한 사실을 델 측에 알린 건 2018년 10월 26일의 일이다. 하지만 패치가 된 건 반년이 지난 4월 18일이었다.

그 다음 중요한 취약점은 부적절한 기원 확인 취약점(improper origin validation)으로 CVE-2019-3718이라는 번호와 CVSS 8.8점이라는 점수를 받았다. 역시 고위험군에 속하는 취약점이다.

이 취약점을 발견한 건 보안 전문가 존 헤네시리카(John Hennessy-ReCar)로 “취약점 익스플로잇에 성공할 경우 인증되지 않은 원격의 공격자가 사용자의 시스템에서 CSRF 공격을 실시할 수 있게 해주며, 공격자는 이를 통해 악성 명령을 삽입할 수 있게 된다”고 말한다. 하지만 세부적인 기술 정보는 아직 다 공개되지 않은 상태다.

3줄 요약
1. 델의 클라이언트 지원 툴에서 고위험군 취약점 여러 개 발견.
2. 한 17세 소년이 발견한 고위험군 취약점도 포함되어 있음.
3. 델은 취약점들에 대한 패치 발표하고 배포 중.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)