설트의 취약점 두 개 때문에 리니지OS, 고스트, 디지서트에서 사고 발생

입력 : 2020-05-05 08:56

오픈소스 환경설정 도구인 설트에서 발견된 치명적인 취약점 두 개...10점 만점 받아
공개되자마자 공격 시도 연달아 발생해...리니지OS, 고스트, 디지서트에서 침해 사고

[보안뉴스 문가용 기자] 지난 며칠 동안 해커들이 설트(Salt) 취약점 두 가지를 지속적으로 공략해왔다. 그리고 이를 통해 리니지OS(LineageOS), 고스트(Ghost), 디지서트(DigiCert)의 서버들을 침해하려는 시도를 이어갔다고 한다.


설트는 오픈소스 환경설정 도구로, 데이터센터와 클라우드 환경에서 서버들의 상태를 모니터링하고 업데이트 하는 데에 사용된다. 현재 설트스택(SaltStack)이란 곳에서 관리 중에 있다. 서버들에 미니언(minion)이라고 불리는 에이전트를 설치하고, 이를 통해 마스터와 연결해 상태 보고서를 전달하고 업데이트를 받는다.

그런데 지난 주 보안 업체 에프시큐어(F-Secure)의 전문가들이 이 설트에서 두 가지 취약점들을 발견했다. CVE-2020-11651과 CVE-2020-11652가 바로 그것이다. 원격의 공격자들이 마스터에서 루트 권한을 가지고 임의의 명령을 실행하고 미니언과 연결할 수 있게 해주는 취약점들인 것으로 분석됐다. 둘 중 정말 심각한 건 CVSS 기준으로 10점 만점을 받았다.

이 취약점들을 익스플로잇 하는 데 성공할 경우, 공격자는 인증 시스템과 인증 제어 장치를 피해가 임의 제어 메시지들을 공개하고, 마스터 서버 파일시스템 어디에서든 파일들을 읽거나 쓸 수 있게 된다고 한다. 또한 마스터에서 루트 권한을 획득하기 위해 필요한 비밀 키도 훔칠 수 있다고 한다.

에프시큐어 측은 이러한 세부 사항을 공개하면서 “제대로 작동하는 익스플로잇이 24시간 안에 나올 가능성이 크다”며 “서둘러 패치하지 않을 경우 당장 공격 대상이 될 수 있다”고 경고하기도 했다. 이렇게 에프시큐어가 경고를 한 게 지난 주 금요일 경이었다.

그러더니 정말 주말 동안 이 두 개의 보안 오류들을 익스플로잇 하려는 시도가 발견됐다. 특히 리니지OS와 고스트, 디지서트에 대한 공격이 가장 많았다. 리니지OS가 공격을 받은 건 5월 2일이었다. 주말 내내 빌드 서버와 상태 서버가 마비되었다. 리니지OS 측은 트위터를 통해 “서명 키와 빌드, 소스코드들에 직접적인 영향은 없다”고 밝혔다.

오픈소스 퍼블리싱 플랫폼인 고스트에서도 사건이 발생했다. 공격자들이 상태 페이지를 통해 인프라 전체에 접근하는 데 성공한 것이다. 이 일은 5월 3일에 발생했다. 그래서 고스트 프로 사이트와 Ghost.org 결제 서비스 사이트 둘 다 마비됐다. 그러나 고스트 측은 신용카드 정보가 유출되거나 조작되는 일은 없었다고 발표했다.

고스트에 의하면 공격자들은 서버들을 장악해 암호화폐 채굴 멀웨어를 실행시키려고 했다고 한다. 그러므로 CPU 자원이 빨리 소모됐고, 시스템들이 제대로 작동할 수 없었던 것으로 보인다.

인증 관련 기관인 디지서트(DigiCert) 역시 주말 동안 공격자들에게 당했다. 공격자들은 설트의 취약점을 통해, 서명된 인증서 타임스탬프(SCT)를 서명하는 데 사용되는 ‘인증서 투명성(CT)’ 로그의 키를 침해하는 데 성공했다고 한다.

디지서트 측은 그 외 다른 CT 로그들은 별개 인프라에서 작동하며, 따라서 이번 사고의 영향을 받지 않는다고 발표했다. 또한 로그를 분석한 결과, 공격자가 비밀 키에 성공적으로 접근했다는 자각을 하지 못하고 있는 것으로 보인다고 덧붙이기도 했다.

설트스택 측은 곧바로 패치를 배포하기 시작했다. 업데이트 된 버전은 설트 3000.2로, 위에 설명된 두 가지 취약점들을 전부 해결하고 있다. 그 외 설트 2019.2.4 버전에서도 두 가지 취약점들이 해결되어 있는 상태다.

3줄 요약
1. 설트스택이 관리하는 환경설정 도구인 설트에서 두 가지 취약점 발견됨.
2. 마스터 서버에 연결해 파일 읽기와 쓰기를 자유롭게 하고 비밀 키도 탈취하게 해주는 취약점임.
3. 주말 동안 이 취약점을 통해 리니지OS, 고스트, 디지서트에서 침해 사고 발생함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 2

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 3

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 4

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 5

  과기정통부, ‘국제 AI안전연구소 네트워크’...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...