큐냅 NAS에 설치된 포토 스테이션에서 치명적 취약점 4개 발견

작년에 발견되고 접수된 치명적 위험도의 취약점 네 개...세 개는 연쇄 익스플로잇 가능
네 번째 취약점에 대해서는 기술 세부 내용 공개되지 않아...이미 충분히 위험한 상태라

[보안뉴스 문가용 기자] 큐냅(QNAP)이 개발한 포토 스테이션(Photo Station) 애플리케이션에서 작년 세 가지 취약점이 발견됐었다. 이를 연쇄적으로 익스플로잇 할 경우 큐냅의 NAS 장비를 표적으로 삼아 원격 코드 실행 공격을 실시할 수 있다고 한다.

[이미지 = iclickart]

큐냅 포토 스테이션은 일종의 사진 앨범 애플리케이션으로, 큐냅 NAS 장비의 약 80%에 설치되어 있다. 사용자들은 포토 스테이션을 사용해 NAS에 저장한 사진과 영상들을 보다 편하게 관리하거나 공유할 수 있다.

그런데 작년 보안 전문가인 헨리 황(Henry Huang)이 큐냅의 소프트웨어에서 네 개의 치명적인 취약점들을 발견했다. 이 중 세 개를 연쇄적으로 익스플로잇 하면 공격자가 루트 권한을 가지고 원격 코드 실행을 할 수 있게 된다는 내용도 포함되어 있었다.

문제의 취약점 세 개는 다음과 같다.
1) CVE-2019-7192
2) CVE-2019-7194
3) CVE-2019-7195
네 번째 취약적은 CVE-2019-7193으로, 큐냅의 NAS OS에서 발견되었다. 네 개 전부 CVSS를 기준으로 9.8점을 받았다.

황이 발표한 바에 따르면 포토 스테이션이 설치된 모든 큐냅 NAS 장비들은 이 취약점에 노출되어 있는 상태다. 발표 시점을 기준으로 인터넷에 연결된 취약한 큐냅 NAS 장비들은 전 세계적으로 45만 대가 넘게 있는 것으로 나타났다.

CVE-2019-7192는 공격자들이 인증 과정을 거치지 않고도 서버에 있는 파일을 읽을 수 있게 해준다. 따라서 로그인 토큰이 저장된 파일을 공격자가 읽을 수 있고, 이를 통해 정상적인 사용자인 것처럼 로그인 할 수 있게 된다. 이 때 사용자의 이름은 appuser가 된다고 한다.

다음으로 공격자는 CVE-2019-7194를 통해 임의의 PHP 코드를 세션에 주입할 수 있게 된다. 마지막인 CVE-2019-7195를 익스플로잇 할 경우 공격자는 인증 과정을 거치지 않고도 세션 콘텐츠를 서버에 기록할 수 있게 된다. 즉 appuser로서 로그인 한 공격자가 PHP 세션에 코드를 주입하고, 자신이 조작한 세션을 포토 스테이션의 웹 디렉토리에 집어넣을 수 있게 된다는 것이다.

연쇄 익스플로잇과 관련되어 있지 않지만 치명적으로 위험한 네 번째 취약점에 대해서는 세부 내용이 공개되지 않았다. 위 세 개의 취약점만으로도 충분히 NAS 장비들이 위험해질 수 있는데, 여기에 위험 요소를 더하기 싫다는 헨리 황의 의견 때문이다.

큐냅은 작년 11월 이 취약점들에 대한 패치를 발표했다. 큐냅 NAS 장비를 사용하고 있다면 최신 버전을 여기(https://www.qnap.com/zh-tw/security-advisory/nas-201911-25)서 받아 적용하는 것이 안전할 것으로 보인다.

3줄 요약
1. 큐냅의 NAS 장비 대부분에 설치된 포토 스테이션 앱에서 취약점 네 개 발견됨.
2. 네 개 전부 치명적인 위험도를 가지고 있고, 세 개는 연쇄적으로 익스플로잇 해 장비에 원격 코드 실행 가능.
3. 큐냅에서 패치를 받아 적용하는 게 안전.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)