HP의 터치포인트 애널리틱스에서 중요한 취약점 발견돼

HP에서 만든 컴퓨터에 퍼포먼스 향상 위해 미리 설치된 분석 도구
존재하지 않는 DLL 파일 로딩하려 해...이 파일을 악성으로 바꾸면 공격 가능

[보안뉴스 문가용 기자] 침해 사고와 침투 공격을 시뮬레이션 하는 것에 특화되어 있는 보안 기업 세이프브리치(SafeBreach)의 전문가들이 HP의 터치포인트 애널리틱스(Touchpoint Analytics) 서비스에서 꽤나 위험할 수 있는 취약점을 올해 여름 발견했다.

[이미지 = iclickart]

HP의 터치포인트 애널리틱스는 HP에서 만든 랩톱과 데스크톱 컴퓨터들에 선 탑재되어 배포되는 경우가 많은 요소로, 이 서비스의 목적은 하드웨어 정보를 익명으로 수집해 진단하는 것으로, 오픈소스 툴인 오픈 하드웨어 모니터(Open Hardware Monitor)라는 도구를 활용한다.

세이프브리치에 의하면 “HP 터치포인트 애널리틱스가 시작될 때 세 가지 DLL 파일들을 로딩하려고 하는데, 이 파일들은 전부 존재하지 않는다”고 설명한다. 공격자가 이 DLL 파일들을 악의적으로 만들어내 올바른 위치에 심을 경우, 공격을 실시할 수 있게 된다. “물론 이 공격 시나리오에서 공격자는 관리자급 권한을 가지고 있어야 합니다.”

공격자는 이 시나리오를 활용해 다양한 목적을 이룰 수 있다.
1) 권한을 ‘시스템(SYSTEM)’으로까지 상승시킬 수 있다.
2) 그러므로 보안 장치들을 전부 회피할 수 있게 된다.
3) 애플리케이션 화이트리스팅, 서명 확인도 통과한다.

또한 터치포인트 애널리틱스가 활용하는 도구인 오픈 하드웨어 모니터의 라이브러리를 악용했을 경우, 공격자가 물리 메모리 공간에서 읽거나 쓰기를 할 수 있게 된다고 한다.

터치포인트 애널리틱스에서 발견된 취약점의 경우 CVE-2019-6333이라는 번호가 주어졌다. 오픈 하드웨어 모니터를 사용하는 시스템이 상당히 많으므로, 공격자들에게 유용하다. 세이프브리치는 전 세계에 수천만~수억 대에 이르는 시스템에서 터치포인트 애널리틱스나 오픈 하드웨어 모니터가 설치되어 있다고 설명한다.

심각한 건, 오픈 하드웨어 모니터에 대한 유지보수가 더 이상 이뤄지지 않고 있다는 점이다. 마지막으로 공식 버전이 발표된 건 2016년 11월이다. 깃허브에 호스팅 되어 있는 코드가 마지막으로 변경된 건 2018년 1월이다.

세이프브리치 측은 7월 초에 터치포인트 애널리틱스에서 발견된 문제를 HP에 알렸다. 패치는 이번 달에서야 이뤄졌고, 패치된 버전은 4.1.4.2827이다. HP는 보안 권고문을 통해 이 취약점이 “임의 코드 실행 취약점의 일종이며, CVSS 기준 6.7점을 받았다”고 고객들에게 알렸다.

터치포인트 애널리틱스라는 것이 HP 장비들 다수에 미리 탑재되어 있다는 것이 처음 발견된 건 2017년의 일이다. 당시 많은 사용자와 보안 전문가들이 데이터 수집 행위에 대해 우려를 표현했다. 심지어 스파이웨어라고 비판하는 목소리도 나왔었다.

하지만 HP는 해당 서비스가 2014년부터 존재해왔으며, 시스템 퍼포먼스와 관련된 데이터만을 수집한다고 해명했다. 게다가 사용자의 허락 없이는 그 데이터가 HP 서버로 전송되는 것도 아니라고 밝히기도 했다.

세이프브리치는 현재까지 델(Dell), 포스포인트(Forcepoint), 트렌드 마이크로(Trend Micro), 비트디펜더(Bitdefender), 체크포인트(Check Point) 등과 같은 기업들이 만든 소프트웨어에서 비슷한 오류들을 찾아 보고해왔다.

3줄 요약
1. HP의 컴퓨터에 미리 탑재된 분석 도구에서 취약점 발견됨.
2. 공격자는 모든 보안 장치 피해 권한을 높이 상승시킨 후 여러 악성 행위 저지를 수 있게 됨.
3. 꽤나 많은 시스템에 설치되어 있기 때문에 공격자들에게 유용.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)