CVE-2019-1372 : ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡...ÆÐÄ¡´Â À۳⠸»¿¡ ¹èÆ÷
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] º¸¾È ¾÷ü üũÆ÷ÀÎÆ®(Check Point)°¡ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¾ÖÀú ÀÎÇÁ¶ó¿¡¼ µÎ °¡Áö Ãë¾àÁ¡À» ¹ß°ßÇÏ°í, ¿À´Ã ±â¼ú ¼¼ºÎ »çÇ×À» °ø°³Çß´Ù. »Ó¸¸ ¾Æ´Ï¶ó ¹ß°ß °æÀ§¿Í °¡´ÉÇÑ °ø°Ý ½Ã³ª¸®¿À±îÁö ÇÔ²² ¹ßÇ¥µÆ´Ù.
[À̹ÌÁö = iclickart]
¿¬±¸¿¡ Âü¿©Çß´ø ·Î³Ù ½´½ºÆ¾(Ronen Shustin)Àº ÀÚ»ç ºí·Î±×¸¦ ÅëÇØ ¡°Å¬¶ó¿ìµå ÀÎÇÁ¶ó´Â ¾ÈÀüÇÏ´Ù´Â ÀϹÝÀûÀÎ °ü³äÀ» ±ú±â À§Çؼ ¿¬±¸¸¦ ½ÃÀÛÇß´Ù¡±°í ¹àÇû´Ù. °á°úÀûÀ¸·Î ±× °ü³äÀ» ±ý¸¸ÇÑ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ°í, üũÆ÷ÀÎÆ®´Â À̸¦ MS¿¡ ¾Ë·Á ÆÐÄ¡°¡ ¸¶·ÃµÇµµ·Ï ÇÏ´Â µ¥ ±â¿©Çß´Ù°í ÇÑ´Ù. ÆÐÄ¡°¡ ¹èÆ÷µÈ °Ç 2019³â¸»ÀÌ´Ù.
µÎ °¡Áö Ãë¾àÁ¡ Áß ÇϳªÀÎ CVE-2019-1234´Â ¼¹ö Ãø ¿äû Á¶ÀÛÀ» ÀÏÀ¸Å°´Â ¹ö±×·Î ¾ÖÀú ½ºÅÃ(Azure Stack)À̶ó´Â ¿ÂÇÁ·¹¹Ì½º ¾ÖÀú ȯ°æ¿¡¼ ¹ß°ßµÆ´Ù. ¾ÖÀú ½ºÅÃÀº ±â¾÷¿ë ÇÏÀ̺긮µå Ŭ¶ó¿ìµå ¼ºñ½º´Ù. ¾ÖÀú ½ºÅÃÀÌ Æ¯Á¤ ¿äûµéÀ» È®ÀÎÇÏÁö ¾Ê¾ÒÀ» ¶§ ¹ß»ýÇÏ´Â ½ºÇªÇÎ ¿À·ù¶ó°í Á¤¸®µÉ ¼ö ÀÖ´Ù. Ư¼öÇÏ°Ô Á¶ÀÛµÈ ¿äûÀ» ¾ÖÀú ½ºÅà Æ÷Åп¡ Àü¼ÛÇÔÀ¸·Î½á ÀͽºÇ÷ÎÀÕÀÌ °¡´ÉÇÏ´Ù.
üũÆ÷ÀÎÆ®ÀÇ º¸¾È Àü¹®°¡µéÀº Á¦ÀÏ ¸ÕÀú ¾ÖÀú ½ºÅà °³¹ß Å°Æ®(ASDK)¸¦ ÀڽŵéÀÇ ¼¹ö¿¡ ¼³Ä¡ÇÏ°í Ãë¾àÁ¡ÀÌ ÀÖÀ» °ÍÀ¸·Î º¸ÀÌ´Â ¿µ¿ªµéÀ» ¸ÅÇÎÇϱ⠽ÃÀÛÇß´Ù°í ÇÑ´Ù. ASDK´Â ÄÚ¾î ¼ºñ½º·Î ±¸¼ºµÇ¾î ÀÖÀ¸³ª, ¾Û ¼ºñ½º(App Service)³ª SQL ÇÁ·Î¹ÙÀÌ´õ(SQL Providers)¿Í °°Àº ±â´ÉÀ» ÅëÇØ È®Àåµµ µÉ ¼ö ÀÖ´Ù. ¡°ASDK´Â ¾ÖÀú Ŭ¶ó¿ìµå¿¡ ºñÇϸé Á¦ÇÑµÈ ±â´ÉÀ» °¡Áö°í ÀÖ°í, 1~2°³ ¹öÀü Á¤µµ µÚÃÄÁø ¼ÒÇÁÆ®¿þ¾î¸¦ ±â¹ÝÀ¸·Î ÇÏ°í ÀÖ½À´Ï´Ù. ÇÏÁö¸¸ ¾ÖÀú ½ºÅðú ¾ÖÀú °ø°ø Ŭ¶ó¿ìµå´Â ¸¹Àº ºÎºÐ¿¡¼ ºñ½ÁÇϱ⠶§¹®¿¡ °Å±â¼ºÎÅÍ ¿¬±¸¸¦ ½ÃÀÛÇϱâ·Î Çß½À´Ï´Ù.¡±
¾ÖÀú ½ºÅÿ¡¼ Á¦°øÇÏ´Â ¼ºñ½º Áß °¡Àå ¸ÕÀú Á¶»ç¸¦ ½ÃÀÛÇÑ °ÍÀº µ¥ÀÌÅͼºñ½º(DataService)´Ù. ÀÎÁõ °úÁ¤ÀÌ ¾ø´Ù´Â ¿À·ù¸¦ °¡Áö°í ÀÖ¾ú´Ù. ¡°À̸¦ ÅëÇØ °ø°ÝÀÚ´Â ¾ÖÀú¿¡¼ ¿î¿µµÇ´Â ±â°è¿¡¼ºÎÅÍ ¹Î°¨ÇÑ Á¤º¸¸¦ ÃëµæÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. °øÀ¯µÈ ±â°èµç °í¸³µÈ ±â°èµç »ó°üÀÌ ¾øÀÌ °ø°Ý °¡´ÉÇÕ´Ï´Ù. °ø°ÝÀ» À§Çؼ´Â ¾ÖÀú ½ºÅà Æ÷ÅÐ(Azure Stack Portal)¿¡ ´ëÇÑ Á¢±Ù ±ÇÇÑÀ» ¸ÕÀú °¡Á®°¡¾ß ÇÏ°í, À̸¦ ÅëÇØ ºñ½ÂÀÎ HTTP ¿äûÀ» Àü¼ÛÇØ¾ß ÇÕ´Ï´Ù. ±×·¯¸é Å׳ÍÆ®µé°ú ÀÎÇÁ¶ó ÀåºñÀÇ ½ºÅ©¸°¼¦°ú µ¥ÀÌÅ͸¦ ¿¶÷ÇÒ ¼ö ÀÖ½À´Ï´Ù.¡±
ÀÌ Ãë¾àÁ¡Àº ¾ÖÀú ½ºÅÿ¡¸¸ ÀÖ´Â Ãë¾àÁ¡ÀÌ´Ù. ÇÏÁö¸¸ üũÆ÷ÀÎÆ®ÀÇ º¸¾È Àü¹®°¡ÀÎ ¾ß´Ïºê ¹ß¸¶½º(Yaniv Balmas)´Â ¡°½ÇÁúÀûÀÌ°í È®½ÇÇÏ°Ô Á¸ÀçÇÏ´Â À§Çù¡±À̶ó°í ¸»ÇÑ´Ù. ¡°´©±º°¡ Å׳ÍÆ®¸¦ ¿©·¯ °³ º¸À¯ÇÑ ¾ÖÀú ½ºÅÃÀ» ¿î¿µÇÑ´Ù°í »ý°¢ÇßÀ» ¶§, °ø°ÝÀÚ°¡ ½ºÅ©¸°¼¦À» ÂïÀ» ¼ö ÀÖ°Ô µÈ´Ù¸é ´ë´ÜÈ÷ À§ÇèÇÑ »çÅ°¡ ¹ú¾îÁú ¼ö ÀÖ½À´Ï´Ù. ¹°·Ð ¾Æ¹«·± Àϵµ ÀϾÁö ¾ÊÀ» ¼ö ÀÖÁö¸¸¿ä. °á±¹ ¾ÖÀú°¡ ¾î¶² ½ÄÀ¸·Î ±¸¼ºµÇ¾î ÀÖ´À³Ä¿¡ µû¶ó ÀüÇô ´Ù¸¥ °á°ú°¡ ÀϾ °Ì´Ï´Ù.¡±
³ª¸ÓÁö ÇϳªÀÇ Ãë¾àÁ¡Àº CVE-2019-1372·Î ¾ÖÀú ¾Û ¼ºñ½º(Azure App Service)¿¡¼ ¹ß°ßµÆ´Ù. ¿ø°Ý ÄÚµå ½ÇÇàÀ» °¡´ÉÄÉ ÇØÁÖ´Â Ãë¾àÁ¡À̶ó°í ÇÑ´Ù. ¾ÖÀú ¾Û ¼ºñ½º´Â »ç¿ëÀÚµéÀÌ À¥ ¾Û, ¸ð¹ÙÀÏ ¹é¿£µå, ·¹½ºÆ®Ç® API(Restful API)¸¦ ¸¸µé°í È£½ºÆà ÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â ±â´ÉÀÌ´Ù. ¾ÖÀú ½ºÅÃÀÌ ¸Þ¸ð¸®¿¡ ¹öÆÛ¸¦ º¹»çÇϱâ Àü¿¡ ±æÀ̸¦ È®ÀÎÇÏÁö ¾Ê±â ¶§¹®¿¡ »ý±â´Â ¹®Á¦´Ù. °ø°ÝÀÚ°¡ À̸¦ ÀͽºÇ÷ÎÀÕ ÇÒ °æ¿ì NT AUTHORITY/systemÀÇ ÄÁÅؽºÆ®¿¡ ¸Â´Â Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ°Ô µÈ´Ù.
°Å±â±îÁö ¼º°øÇÑ °ø°ÝÀÚ´Â ¾ÖÀú Ŭ¶ó¿ìµå¿¡¼ ¹«·á »ç¿ëÀÚ¸¦ Çϳª ¸¸µêÀ¸·Î½á Å׳ÍÆ® ¾ÖÇø®ÄÉÀ̼Ç, µ¥ÀÌÅÍ, °èÁ¤ µîÀ» ħÇØÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ȤÀº ºñ½ÂÀÎ HTTP ¿äûµéÀ» ¾ÖÀú ½ºÅà »ç¿ëÀÚ Æ÷ÅзΠÀü¼ÛÇÒ ¼öµµ ÀÖ´Ù. ÀÌ·¸°Ô µÇ¸é ¾ÖÀú ¼¹ö Àüü¿¡ ´ëÇÑ ÅëÁ¦±ÇÀ» °ø°ÝÀÚµéÀÌ °¡Á®°¡°í, µû¶ó¼ ÇØ´ç ¾ÖÀú ¼¹ö¿Í ºñÁî´Ï½º °ü·Ã µ¥ÀÌÅ͵éÀ» ¿ÏÀüÈ÷ Àå¾ÇÇÒ ¼ö ÀÖ°Ô µÈ´Ù.
¹ß¸¶½º´Â ¡°°°Àº ¼¹ö¿¡ ÀÖ´Â ¸ðµç ¿öÅ©·Îµå¸¦ °ø°ÝÀÚ°¡ ¿Ïº®È÷ ¿¶÷ÇÏ´Â °Ô °¡´ÉÇÒ ¼öµµ ÀÖ´Ù¡±¸ç ¡°¿¶÷ ÈÄ Á¶ÀÛ, »èÁ¦ °°Àº ÇàÀ§µµ °¡´ÉÇÏ´Ï »ó´çÈ÷ À§ÇèÇÑ Ãë¾àÁ¡ÀÓ¿¡ ºÐ¸íÇÏ´Ù¡±°í µ¡ºÙ¿´´Ù. ±× ¿Ü CVE-2019-1372´Â ±ÇÇÑ »ó½Â±îÁö ÀÏÀ¸Å³ ¼ö ÀÖ´Â Ãë¾àÁ¡À̶ó´Â »ç½Çµµ ºí·Î±×¿¡ ¾ð±ÞµÆ´Ù.
3ÁÙ ¿ä¾à
1. ¸¶ÀÌÅ©·Î ¾ÖÀú »ýÅ°迡¼ Ãë¾àÁ¡ 2°³ ¹ß°ßµÊ.
2. Á¤º¸¸¦ ¿¶÷, Á¶ÀÛ, »èÁ¦ÇÒ ¼ö ÀÖ°Ô µÇ´Â Ãë¾àÁ¡À̶ó »ó´çÈ÷ Ä¡¸íÀûÀÏ ¼ö ÀÖÀ½.
3. ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®´Â ÀÌ ¹®Á¦¿¡ ´ëÇÑ ÆÐÄ¡¸¦ À۳⠸»¿¡ ³»³õÀº ¹Ù ÀÖÀ½.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>