투비소프트 NEXACRO14/17 ExtCommonApiV13와 라온위즈 K Upload 취약점 발견! 패치 필수

투비소프트 NEXACRO14/17 ExtCommonApiV13 라이브러리, 임의 코드 실행 취약점 발견
라온위즈 RAON K Upload, 확장자 검증 미흡으로 인해 원격의 파일 다운로드 및 실행 가능

[보안뉴스 권 준 기자] 투비소프트의 NEXACRO14/17 ExtCommonApiV13 라이브러리에서의 임의코드 실행 취약점과 라온위즈의 Non-ActiveX 정부 지침을 준수한 독립 실행형(에이전트) 파일 전송 솔루션 ‘RAON K Upload’에서 파일 다운로드 취약점이 발견돼 신속한 패치가 요구되고 있다.

[이미지=utoimage]

먼저 투비소프트 NEXACRO14/17 ExtCommonApiV13 라이브러리의 취약한 API를 활용하여 임의 코드 실행이 가능한 취약점이다. 특정 API 호출 시 파일 위치에 대한 입력값 검증 미흡으로 임의 폴더에 파일을 생성이 가능하고, 사용자의 재부팅을 통해 임의 코드를 실행할 수 있는 취약점(CVE-2020-7820)과 레지스트리 경로에 대한 검증 미흡으로 임의의 레지스트리 경로에 스크립트를 등록하고, 사용자의 재부팅을 통해 임의 코드 코드를 실행할 수 있는 취약점(CVE-2020-7821)으로 구분된다.

해당 취약점은 모두 코드 실행이 가능한 임의 코드 실행 취약점으로, 심각도 High에다 CVSS 점수는 7.8이며, 취약점 넘버는 CVE-2020-7820과 CVE-2020-7821이다.

취약점에 영향 받는 버전 동작환경은 NEXACRO14/17 ExtCommonApiV13 2019.9.6 이전 버전의 Window OS 환경으로, 취약한 버전 및 동작환경 사용자의 경우 투비소프트 기술지원 홈페이지를 방문하여 2019.9.6 버전 혹은 최신 버전을 설치하면 된다. 해당 취약점은 한국인터넷진흥원이 운영하는 KrCERT 홈페이지를 통해 백정운 씨가 제공해 알려졌다.

또한, 라온위즈가 제공하는 ‘RAON K Upload’ 솔루션의 파일 다운로드 및 실행 취약점은 확장자 검증 미흡으로 인해 원격의 파일을 다운로드 및 실행할 수 있는 취약점이다.

해당 취약점은 코드 실행이 가능한 파일 다운로드 및 실행 취약점으로, 엑스플랫폼과 마찬가지로 심각도 High에다 CVSS 점수는 7.8이며, 취약점 넘버는 CVE-2020-7814이다.

취약점에 영항을 받는 제품 버전은 RAON K Upload 2018.0.2.50 이하 버전 윈도우 환경으로, 취약한 버전의 제품 이용자는 RAON K Upload 제품을 2018.0.2.51 이상으로 설치하면 된다.

해당 취약점에 대한 보다 자세한 사항은 한국인터넷진흥원 침해사고분석단 취약점분석팀으로 문의하면 된다.
[권 준 기자(editor@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)