유명 메일 서버 엑심에서 코드 실행 가능케 하는 취약점 발견돼

입력 : 2019-09-09 14:05

엑심 서버에서 발견된 CVE-2019-15846, 오버플로우 계열 취약점
아마추어가 익스플로잇 하기는 어렵지만 고급 해커들에게는 매력 넘쳐

[보안뉴스 문가용 기자] 엑심(Exim)이라는 메일 서버에서 취약점이 발견됐다. 익스플로잇에 성공할 경우 로컬이나 원격의 공격자들이 루트 권한을 임의의 코드를 실행할 수 있게 된다고 한다.


엑심의 개발자들이 발표한 바에 따르면 이 취약점은 CVE-2019-15846이며, 4.92.1 및 이전 버전에 영향을 끼친다고 한다. 개발자들은 문제를 해결했으며, 지난 주말부터 4.92.2 버전을 배포하기 시작했다. 패치를 하지 않을 경우 문제점에 계속해서 노출된 상태가 된다.

이 취약점은 기본적으로 ‘힙 오버플로우(heap overflow)’의 일종으로, TLS 연결을 허용하는 엑심 서버들에 영향을 준다고 한다. 하지만 사용된 TLS 라이브러리와는 상관없이 익스플로잇이 가능하다. 개발자들에 의하면 “GnuTLS와 OpenSSL 모두 익스플로잇이 가능하다”고 한다.

“최초 TLS 핸드셰이크 시점에서 역슬래시(backslash)와 널(null) 시퀀스로 끝나는 SNI를 전송하면 취약점을 익스플로잇 할 수 있게 됩니다.” 엑심 개발자들이 보안 권고문을 발표하면서 제공한 익스플로잇 설명이다.

이 문제를 분석한 보안 업체 퀄리스(Qualys)는 “아직 이 취약점을 실제 공격한 사례는 발견하지 못했다”고 발표했다. 동시에 해당 취약점의 익스플로잇 가능성과 위험성을 증명하기 위한 개념증명 코드 역시 발표했다.

한편 이 문제를 7월 21일에 엑심 측에 제일 먼저 알린 건 제론스(Zerons)라는 온라인 ID를 사용하는 익명의 전문가라고 한다.

취약점 익스플로잇은 서버의 설정을 바꿈으로써 막을 수 있다. “TLS 연결을 허용하지 않도록 하면 됩니다. 그러나 이는 권장할 만한 방법은 아닙니다. 보다 나은 방법으로는 접근 제어 목록(ACL)에 특수한 규칙을 추가하는 것입니다.”

또 다른 보안 업체 트립와이어(Tripwire)의 보안 전문가 크레이그 영(Craig Young)은 해당 취약점에 대해 “버퍼 오버플로우 취약점으로, 공격자가 임의 코드를 실행하도록 직접 만들어주는 건 아니”라고 설명했다. “결국에는 공격자가 메모리를 덮어쓰기 함으로써 코드 실행을 유발하는 겁니다.”

그러면서 그는 “원격 코드 실행 취약점과는 본질적으로 다른 취약점”이라고 강조했다. “공격자들이 넘어야 할 산이 훨씬 많다는 데에 그 차이가 있습니다. 취약한 프로그램 그 자체와 OS 단계에서 이뤄지는 완화 절차들을 극복해야만 코드 실행을 이뤄낼 수 있게 됩니다.”

그러면서 크레이그 영은 “플랫폼을 아우르는 익스플로잇을 안정적으로 개발하는 것이 꽤나 어려워 보이고, 그 방법도 까다로워 보인다”며 “적어도 아마추어 단계의 해커들이 쉽게 코드를 개발해 공격을 실행하지는 못할 것”이라고 예측했다.

그렇다는 건 국가의 지원을 받고 있는 고급 해커들의 관심이 높을 수 있다는 뜻이 된다. “메일 서버에서 발견된 취약점이고, 공격 실행이 어려워 아무나 익스플로잇할 수 없다는 건 고급 해커들의 먹잇감이 되기 쉽다는 소리입니다. 이미 누군가는 익스플로잇 코드를 개발 중에 있을 겁니다.”

영이 그렇게 생각하는 데에는 엑심이 세계에서 가장 널리 사용되는 메일 서버 중 하나이기 때문이기도 하다. 검색 엔진 쇼단(Shodan)으로 살펴보면 현재 500만 개가 넘는 인스턴스가 발견된다. 대부분 미국에 있다. “공격자들로서는 구미가 당길 겁니다.”

엑심에서는 6월 중순 CVE-2019-10149 취약점이 발견되기도 했다. 해당 취약점은 암호화폐 공격자들이 익스플로잇 한 바 있으며, 이번 달 초에 패치가 발표됐다.

3줄 요약
1. 전 세계에서 널리 사용되고 있는 메일 서버 서비스 엑심에서 취약점 발견됨.
2. 취약점 익스플로잇 자체는 까다로움. 아마추어가 범접하기는 힘들 정도.
3. 고급 공격자들의 경우 구미가 당길 만한 취약점.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 2

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 3

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 4

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 5

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...