시스템 완전 장악 가능하게 하는 VM웨어 취약점, 패치 시급해

3주 전 VM웨어의 브이센터 서버 특정 버전들에서 치명적인 취약점이 2개 발견됐다. 공격자들이 시스템을 완전히 장악하도록 해 주는 취약점이었다. 하지만 숱한 경고가 나갔음에도 사용자 단에서 패치를 적용하지 않고 있어서 문제다.

[보안뉴스 문가용 기자] VM웨어의 브이센터 서버(vCenter Server) 인스턴스 수천 개들이 취약한 상태로 유지되고 있다. 3주 전 발견된 취약점들에 대한 패치가 아직 사용자 측에서 적용되지 않고 있는 것이다. 문제의 취약점은 CVE-2021-21985와 CVE-2021-21986으로, 익스플로잇에 성공할 경우 공격자는 브이센터 서버가 설치된 시스템을 완전히 통제할 수 있게 된다. 브이센터 서버 6.5, 6.7, 7.0 버전이 취약하다.

[이미지 = utoimage]

VM웨어가 이 두 가지 취약점에 대한 패치를 발표한 건 5월 25일이다. 당시 VM웨어는 취약한 버전의 브이센터 서버를 운영하고 있는 고객사들에 조속한 패치 적용을 권고했었다. 미국 국토안보부 산하 사이버 보안 전담 기관인 CISA 역시 이 취약점의 심각성을 인지하고 경고했다. 그런 상태에서 3주가 지났는데, 아직도 취약한 서버 인스턴스가 수천 개나 발견되고 있다. 이는 쇼단(Shodan) 검색 엔진을 통해 찾아낸 결과다.

쇼단 등으로 검색했을 때 발견되는 취약한 서버의 수는 정확히 5271개라고 보안 업체 트러스트웨이브(Trustwave)는 발표했다. 이 중 4019개는 위에 언급된 두 가지 취약점 모두에 노출되어 있었고, 942개는 이미 지원이 끝난 버전의 브이센터 서버였다. 이 942개의 서버에도 해당 취약점이 존재할 가능성이 높은데, 지원이 끝났기 때문에 패치도 존재하지 않는다.

트러스트웨이브의 수석 보안 분석가인 칼 시글러(Karl Sigler)는 “문제가 되고 있는 두 개의 취약점은 치명적으로 위험하다”며 “장비의 완전 장악을 가능하게 해 줄뿐만 아니라 익스플로잇의 난이도도 낮은 편이라 HTTP와 REST에 대한 기본적인 개념만 있어도 공격을 성공시킬 수 있다”고 설명한다. “심지어 특별한 도구나 소프트웨어가 공격에 필요한 것도 아닙니다.”

VM웨어의 브이센터 서버는 하이브리드 클라우드 플랫폼에 구축된 브이스피어(vSphere) 환경을 중앙에서 편리하게 제어하는 데 사용된다. 클라우드가 점점 확산되고 있는 때에 사용자 조직이 점점 늘어나고 있다. VM웨어는 “문제의 취약점들은 가상 스토리지 영역 네트워크(vSAN) 플러그인에 존재한다”고 설명했었다.

시글러는 “브이센터 서버 환경을 관리하고 패치하는 건 꽤나 복잡하고 어려운 일”이라며 “그래서 패치가 늦어지고 있는 것”이라고 설명한다. “한 조직 내 여러 부서와 기능들이 브이센터 서버 환경에 연결되어 있습니다. 그렇기에 일시적인 다운타임을 결정해야 하는데, 이 협의를 이끌어내는 것부터가 곤란한 일일 때가 많습니다. 게다가 패치 자체에 오류가 있다면 상황은 더 복잡해지죠. 실험실 환경에서 패치를 먼저 적용해 보는 것이 안전합니다.”

한 가지 다행인 건 아직 이 취약점을 실제로 익스플로잇 하는 공격 행위가 발견되지 않았다는 것이다. 하지만 사용자가 제법 많으며, 취약한 인스턴스의 수도 5천 개 이상이고, 익스플로잇 난이도가 낮다는 점에서 조만간 실제 공격이 벌어져도 이상하지 않은 일이다. 시글러는 “관리자가 조속하게 패치를 기획하고 실행해야 한다”고 촉구했다.

3줄 요약
1. 3주 전 발견되고 패치되고 경고된 브이센터 서버 취약점, 방치된 경우 5천 건 넘음.
2. 사용자 조직들은 패치가 어렵고 복잡하기 때문에 차일피일 미루고 있는 것으로 보임.
3. 이 취약점을 익스플로잇 하면 브이센터 서버가 운영되는 망과 장비를 완전 장악할 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)