아비아트릭스의 기업용 VPN에서 권한 상승 취약점 두 개 발견돼

VPN 제품들에서 취약점 연달아 나와…미국과 영국 정부는 경고 발령하기도
아비아트릭스 제품에서 나온 두 가지 취약점…접근 성공 후 활용 가능해

[보안뉴스 문가용 기자] 클라우드 네트워킹 솔루션 제공 업체인 아비아트릭스(Aviatrix)의 기업용 VPN 제품에서 두 개의 권한 상승 취약점이 발견됐다. 아비아트릭스는 넷플릭스, 유나이티드항공, 도커, 엡실론, 유명 호텔 체인 등 전 세계 약 400개의 고객사를 두고 있는 기업이다.

[이미지 = iclickart]

보안 업체 이머시브 랩스(Immersive Labs)의 연구원인 알렉스 세이모어(Alex Seymour)가 발견한 이 취약점은 이미 10월 초에 아비아트릭스에 보고된 상황이며, 아비아트릭스 측에서는 한 달이 조금 되지 않은 때에 2.4.10 버전을 발표하며 문제를 해결했다. 문제가 된 아비아트릭스 VPN은 오픈VPN(OpenVPN)을 기반으로 하고 있다.

공격 표적이 될 시스템에 이미 접근 가능한 공격자라면 이 취약점들을 활용해 권한을 상승시켜 민감한 데이터나 서비스에 접근할 수 있게 된다. 취약점을 요약하면 다음과 같다.
1) CVE-2019-17388 : 파일 허용과 관련된 로컬 권한 상승 취약점
2) CVE-2019-17387 : 서비스 코드 실행과 관련이 있는 취약점
두 가지 모두 익스플로잇 하면 높아진 권한으로 임의 코드를 실행하는 게 가능하게 된다.

세이모어는 “최근 영국과 미국 정부가 각종 VPN 제품들에 대한 경고를 내놓은 바 있다”며 “거기에 이런 유명 VPN 제품에서도 추가적으로 취약점이 나옴에 따라 기업을 보호하고 있는 각종 보안 장치들 자체도 꽤나 불안전한 상태라는 게 알려지고 있다”고 설명한다. “VPN을 사용하는 것 자체만으로도 어느 정도 보안이 튼튼해진다고 생각하는 경향이 있죠. 완전히 틀렸다고 할 수는 없지만, 완전히 맞는 생각도 아닙니다.”

아비아트릭스는 보안 권고문을 발표하면 “해당 취약점에 영향을 받는 건 VPN 클라리언트(VPN Client)가 설치된 장비”라며 “로컬에 접근해야만 공격이 성립된다”고 설명했다. “VPN 게이트웨이(VPN Gateway)나, 오픈VPN과 호환이 되는 다른 종류의 VPN 클라이언트들은 이 취약점들의 영향을 받지 않습니다. 취약점 자체는 이미 관리자 권한을 탈취하는 데 성공한 공격자에게 전혀 쓸모가 없습니다.”

최근 들어 기업용 VPN 제품들에서 취약점이 연달아 발견되고 있고, 일부 공격자들 역시 이 VPN들을 통해 공격을 시도하고 있다는 사실이 밝혀지면서, 미국과 영국 정부는 VPN을 반드시 최신화하고 모니터링하라는 경고를 발령한 상태다. 아비아트릭스 역시 “클라이언트를 최대한 빨리 업데이트 하라”고 권고했다.

3줄 요약
1. 요즘 VPN 제품에서 취약점 자꾸만 발견되는 가운데
2. 아비아트릭스의 기업용 VPN 제품에서도 취약점 두 개 발견됨.
3. VPN 사용하는 것만으로 안심해서는 안 됨.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)