Home > 전체기사
설트의 취약점 두 개 때문에 리니지OS, 고스트, 디지서트에서 사고 발생
  |  입력 : 2020-05-05 08:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
오픈소스 환경설정 도구인 설트에서 발견된 치명적인 취약점 두 개...10점 만점 받아
공개되자마자 공격 시도 연달아 발생해...리니지OS, 고스트, 디지서트에서 침해 사고


[보안뉴스 문가용 기자] 지난 며칠 동안 해커들이 설트(Salt) 취약점 두 가지를 지속적으로 공략해왔다. 그리고 이를 통해 리니지OS(LineageOS), 고스트(Ghost), 디지서트(DigiCert)의 서버들을 침해하려는 시도를 이어갔다고 한다.

[이미지 = iclickart]


설트는 오픈소스 환경설정 도구로, 데이터센터와 클라우드 환경에서 서버들의 상태를 모니터링하고 업데이트 하는 데에 사용된다. 현재 설트스택(SaltStack)이란 곳에서 관리 중에 있다. 서버들에 미니언(minion)이라고 불리는 에이전트를 설치하고, 이를 통해 마스터와 연결해 상태 보고서를 전달하고 업데이트를 받는다.

그런데 지난 주 보안 업체 에프시큐어(F-Secure)의 전문가들이 이 설트에서 두 가지 취약점들을 발견했다. CVE-2020-11651과 CVE-2020-11652가 바로 그것이다. 원격의 공격자들이 마스터에서 루트 권한을 가지고 임의의 명령을 실행하고 미니언과 연결할 수 있게 해주는 취약점들인 것으로 분석됐다. 둘 중 정말 심각한 건 CVSS 기준으로 10점 만점을 받았다.

이 취약점들을 익스플로잇 하는 데 성공할 경우, 공격자는 인증 시스템과 인증 제어 장치를 피해가 임의 제어 메시지들을 공개하고, 마스터 서버 파일시스템 어디에서든 파일들을 읽거나 쓸 수 있게 된다고 한다. 또한 마스터에서 루트 권한을 획득하기 위해 필요한 비밀 키도 훔칠 수 있다고 한다.

에프시큐어 측은 이러한 세부 사항을 공개하면서 “제대로 작동하는 익스플로잇이 24시간 안에 나올 가능성이 크다”며 “서둘러 패치하지 않을 경우 당장 공격 대상이 될 수 있다”고 경고하기도 했다. 이렇게 에프시큐어가 경고를 한 게 지난 주 금요일 경이었다.

그러더니 정말 주말 동안 이 두 개의 보안 오류들을 익스플로잇 하려는 시도가 발견됐다. 특히 리니지OS와 고스트, 디지서트에 대한 공격이 가장 많았다. 리니지OS가 공격을 받은 건 5월 2일이었다. 주말 내내 빌드 서버와 상태 서버가 마비되었다. 리니지OS 측은 트위터를 통해 “서명 키와 빌드, 소스코드들에 직접적인 영향은 없다”고 밝혔다.

오픈소스 퍼블리싱 플랫폼인 고스트에서도 사건이 발생했다. 공격자들이 상태 페이지를 통해 인프라 전체에 접근하는 데 성공한 것이다. 이 일은 5월 3일에 발생했다. 그래서 고스트 프로 사이트와 Ghost.org 결제 서비스 사이트 둘 다 마비됐다. 그러나 고스트 측은 신용카드 정보가 유출되거나 조작되는 일은 없었다고 발표했다.

고스트에 의하면 공격자들은 서버들을 장악해 암호화폐 채굴 멀웨어를 실행시키려고 했다고 한다. 그러므로 CPU 자원이 빨리 소모됐고, 시스템들이 제대로 작동할 수 없었던 것으로 보인다.

인증 관련 기관인 디지서트(DigiCert) 역시 주말 동안 공격자들에게 당했다. 공격자들은 설트의 취약점을 통해, 서명된 인증서 타임스탬프(SCT)를 서명하는 데 사용되는 ‘인증서 투명성(CT)’ 로그의 키를 침해하는 데 성공했다고 한다.

디지서트 측은 그 외 다른 CT 로그들은 별개 인프라에서 작동하며, 따라서 이번 사고의 영향을 받지 않는다고 발표했다. 또한 로그를 분석한 결과, 공격자가 비밀 키에 성공적으로 접근했다는 자각을 하지 못하고 있는 것으로 보인다고 덧붙이기도 했다.

설트스택 측은 곧바로 패치를 배포하기 시작했다. 업데이트 된 버전은 설트 3000.2로, 위에 설명된 두 가지 취약점들을 전부 해결하고 있다. 그 외 설트 2019.2.4 버전에서도 두 가지 취약점들이 해결되어 있는 상태다.

3줄 요약
1. 설트스택이 관리하는 환경설정 도구인 설트에서 두 가지 취약점 발견됨.
2. 마스터 서버에 연결해 파일 읽기와 쓰기를 자유롭게 하고 비밀 키도 탈취하게 해주는 취약점임.
3. 주말 동안 이 취약점을 통해 리니지OS, 고스트, 디지서트에서 침해 사고 발생함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)