Home > 전체기사

제록스, 문서 관리 플랫폼인 도큐셰어의 취약점 패치

  |  입력 : 2020-12-03 13:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
CVE-2020-27177…솔라리스, 리눅스, 윈도용 도큐셰어에서 발견된 구멍
두 가지 공격 가능하게 해…서버 사이드 요청 조작과 비인증 외부 객체 주입 공격


[보안뉴스 문가용 기자] 제록스(Xerox)가 자사 문서 관리 플랫폼인 도큐셰어(DocuShare)에서 발견된 두 가지 공격 가능성을 열어 두는 취약점을 패치했다. 이 취약점을 익스플로잇 하는 데 성공할 경우 도큐셰어 사용자들의 민감한 정보가 탈취될 수 있다고 한다.

[이미지 = utoimage]


미국 현지 시간 기준으로 수요일 국토안보부 산하 사이버 보안 담당 부서인 CISA는 보안 권고문을 발표해 “제록스 도큐셰어의 취약점을 패치하라”고 권고했다. 여기서 말한 취약점은 도큐셰어 6.6.1, 7.0, 7.5 버전에서 발견된 두 가지 보안 구멍들을 하나로 합친 것을 말한다. 이 취약점은 ‘중요’ 등급을 받았다.

취약점 관리 번호는 CVE-2020-27177이다. 제록스에 의하면 이 취약점은 솔라리스, 리눅스, 윈도용 도큐셰어 모두에 영향을 주며, 서버 사이드 요청 조작(SSRF) 공격과 비인증 외부 XML 객체 주입 공격(XXE)를 가능하게 만들어 준다고 한다. 이에 대한 보안 권고문을 제록스가 발표한 건 11월 30일의 일이다.

하지만 제록스는 이 취약점의 상세한 기술 정보나 공격 시나리오는 공개하지 않았다. 대략적인 내용과 함께 핫픽스의 링크만 ‘미니 불레틴’ 형태로 제공하고 있을 뿐이다. 그나마도 솔라리스용 도큐셰어 7.5 버전의 경우는 아직 존재하지 않는다. 배포 예정일조차 아직 잡혀있지 않다.

SSRF 공격은, 공격자가 서비스형 소프트웨어(SaaS) 형태의 도큐셰어가 호스팅 되어 있는 서버의 기능을 악용하는 것을 말한다. 성공할 경우 공격자는 서버에 침투해 내부 자원들을 자유롭게 열람할 수 있게 된다. “공격자들은 AWS 메타데이터와 같은 서버 설정 내용도 읽을 수 있게 됩니다. 내부 데이터베이스망에도 접속이 가능하고요. 이 공격은 외부로 드러나면 안 되는 것들이 드러날 수 있다는 위험성을 가지고 있습니다.” 오와습(OWASP)이 발표한 SSRF 공격에 대한 정의다.

XXE 공격은 XML 입력값을 확인하는 애플리케이션을 겨냥한 공격이다. “외부 조직이나 자원과 연결된 링크 등이 포함된 XML 입력값을 확인 애플리케이션이 제대로 확인하지 못해서 그대로 통과시킬 때 이 공격을 성립시킬 수 있습니다.” 역시 오와습이 발표한 XXE 공격에 대한 설명이다. 이 공격에 성공하면 해커는 기밀 데이터에 접근하고 추가 공격을 이어갈 수 있게 된다.

추가 공격에는 다음과 같은 것들이 포함된다.
1) 서비스 마비 공격
2) 서버 사이드 요청 조작 공격
3) 포트 스캐닝

트위터에서 MrTuxracer라는 이름을 사용하는 보안 전문가인 줄리엔 아렌스(Julien Ahrens)가 이 취약점을 제일 처음 찾아낸 것으로 제록스는 발표했다.

3줄 요약
1. 제록스의 문서 관리 플랫폼에서 취약점 발견됨.
2. 은밀하고 민감한 정보들을 빼돌릴 수 있게 해 주는 취약점.
3. 특히 SSRF 공격과 XXE 공격을 가능하게 해 주는 것으로 알려져 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협