10년째 방치되던 어바이어 전화기 취약점, 최근에 패치 이뤄져

10년짜리 스택 기반 버퍼 오버플로우 취약점, 기기 마비시키고 코드 실행케 해
8년째 방치되던 불완전 검사 취약점, 임의 코드 실행 가능하게 해줘

[보안뉴스 문가용 기자] 어바이어(Avaya) 전화기에서 발견된 취약점이 10년째 방치되고 있었다고 보안 업체 맥아피(McAfee)가 발표했다. 문제의 취약점은 CVE-2009-0692로, 일종의 스택 기반 버퍼 오버플로우 문제며, 동적 호스트 구성 프로토콜(DHCP) 내에 존재한다고 한다. 익스플로잇이 될 경우 ISC DHCP 클라이언트가 마비되고 임의 코드를 실행할 수 있게 된다.

[이미지 = iclickart]

DHCP 프로토콜은 IP 네트워크에 연결되어 있는 개별 장비들이 IP 주소, 서브넷 마스크, 방송 주소 등 독자적인 네트워크 환경설정 정보를 보유할 수 있도록 해주는 규약이다. 어바이어는 VoIP 솔루션 제공 산업에서 첫손에 꼽히는 규모를 가진 기업으로, 10년 전에 발견된 문제를 아직까지 해결하지 않고 있다가 이번에 적발됐다. 오픈소스 소프트웨어를 주의 없이 복사해 사용하다가 벌어진 일로 보인다.

취약점 자체는 2009년 당시 보고가 되었다. 그랬으니 CVE 번호까지 붙어있는 것이다. 그럼에도 어바이어 측에서 조치를 취하지 않았다는 건, 해당 보고를 무시해왔다는 것이며, 따라서 지난 10년 동안 취약한 장비를 생산해 사용자들을 사이버 공격에 노출시켜왔다는 듯이다. 맥아피에 따르면 H.323 소프트웨어를 사용하는 장비들이 위험하다고 한다.

그런데 문제는 여기서 끝나지 않는다. 8년 전인 2011년에 보고된 취약점도 나왔다. CVE-2011-0997로, DHCP 클라이언트 데몬인 dhclient가 DHCP 서버 응답 내에 포함되어 있는 특정 옵션을 제대로 거르지 않는다는 것이다. 그러므로 특수하게 조작된 요청을 DHCP 클라이언트로 보낼 수 있게 된다. “즉 임의 코드 실행으로 이어질 수 있다는 것입니다.”

이 취약점은 H.323 소프트웨어를 기반으로 하고 있는 9600 시리즈 IP 데스크폰(9600 Series IP Deskphone), J100 시리즈 IP 폰(J100 Series IP Phone), B100 시리즈 컨퍼런스 폰(B100 Series Conference Phone)에서 발견되고 있다. 어바이어는 지적을 받은 이후 패치를 개발해 공개했다.

이러한 문제를 발견하고 어바이어 측에 보고한 맥아피는 패치가 나온 것을 확인 후 이 취약점들을 익스플로잇 하는 방법을 영상(https://www.youtube.com/watch?v=zW8B913R4ig&feature=youtu.be)으로 공개하기도 했다.

“사물인터넷 장비나 임베디드 기계들의 가장 무서운 점 중 하나는 소리소문 없이 우리 생활과 업무 환경 속에 들어온다는 겁니다. 말 그대로 ‘스며’들죠. 그렇기 때문에 사물인터넷 장비인줄도 모르고 사용하고, 따라서 보안에 대해 특별히 신경 쓰지 않게 됩니다. 그런 분위기 속에서 장비 제조사가 취약점을 긴 시간 동안 방치하고 있다는 건 문제를 불필요하게 증폭시키는 겁니다.” 맥아피의 설명이다.

3줄 요약
1. 사물인터넷 전화기 제조사 어바이어, 8년째 방치되고 있던 취약점 패치.
2. 뿐만 아니라 10년째 방치되고 있던 오버플로우 취약점도 패치.
3. 사물인터넷 장비의 특징은 쥐도 새도 모르게 스며든다는 것. 제조사들까지 그러면 안 됨.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)