CVE-2020-11651과 CVE-2020-11652라는 치명적 위험도의 취약점
익스플로잇 성공할 경우 루트 권한 가져올 수 있어...시스코 서버도 침해돼

[보안뉴스 문가용 기자] 시스코(Cisco)가 두 개의 취약점을 패치했다. 설트(Salt)에서 발견된 취약점들로, 익스플로잇이 활발히 진행 중이라 시급한 패치가 요구되고 있다.


이 두 개의 취약점은 CVE-2020-11651과 CVE-2020-11652로, 모두 치명적인 위험도를 가진 것으로 분석됐다. 공개된 건 4월 말의 일이다. 다만 설트 시스템의 설정이 안전하지 않게 설정되었을 경우에만 익스플로잇이 가능한 것으로 알려졌다.

설트는 인기 높은 환경설정 도구로, 설트 관리자(Salt Manager)라는 요소를 활용해 여기 저기 분산된 에이전트들로부터 보고서를 수집한다. 이 에이전트는 미니언(minion)이라고 불리기도 한다. 또한 설트 관리자가 미니언으로 메시지를 보냄으로써 환경설정 내용을 업데이트 하기도 한다.

보통 설트 관리자는 인터넷에 곧바로 연결되어 있지 않은 상태로 유지된다. 그러나 4월 말에 인터넷을 간략하게 스캔한 결과 6천 개가 넘는 인스턴스들이 인터넷에 연결되어 있는 것으로 나타났다. 이렇게 인터넷에 연결된 설트 관리자가 취약한 버전일 경우(설트 관리자 2019.2.3 버전과 설트 3000(3000.1 및 이전 버전)) 익스플로잇 함으로써 루트 권한을 가져갈 수 있게 된다.

문제의 취약점이 패치되고 얼마 지나지 않아 해당 취약점을 노린 사이버 공격이 발견됐다. 공격이 일어난 곳은 웹 검색 서비스를 제공하는 알골리아(Alogolia), 리니지OS(LineageOS), 고스트(Ghost), 디지서트(DigiCert) 등이었다. 패치가 발표된 후 적용되는 시간까지의 차이를 공격자들이 노린 것이다.

시스코에 의하면 시스코 가상 인터넷 라우팅 랩 개인 에디션(Cisco Virtual Internet Routing Lab Personal Edition, VIRL-PE)가 설트 관리자 서버와 연결되어 있었으며, 설트 관리자를 5월 7일자로 최신화 함으로써 패치를 완료했다고 한다. 그런데 패치가 적용된 바로 그날 침해가 발생하기도 했다.

“저희는 지난 5월 7일 VIRL-PE 1.2와 1.3 버전과 연결되어 있었던 설트 관리자 서버들을 유지 보수하는 작업을 진행하다가 침해가 일어났다는 것을 확인할 수 있었습니다.” 시스코가 권고문을 통해 발표한 내용이다. “해커들은 총 여섯 개의 서버에 접근한 것으로 확인됐습니다.”

이 여섯 개의 서버는 다음과 같다고 한다.
1) us-1.virl.info
2) us-2.virl.info
3) us-3.virl.info
4) us-4.virl.info
5) vsm-us-1.virl.info
6) vsm-us-2.virl.info

시스코의 모델링 랩스 코포레이트 에디션(Cisco Modeling Labs Corporate Edition, CML) 역시 설트에서 발견된 취약점에 영향이 있는 것으로 나타났다. 하지만 2.0 버전의 경우 설트 서비스를 사용하고 있지 않기 때문에 취약점의 영향을 받지 않는 것으로 나타났다.

3줄 요약
1. 설트에서 발견된 취약점, 여러 제품과 서비스에 악영향 미치는 중.
2. 그 중 시스코의 제품 두 가지에도 연관성이 있는 것으로 나타났음.
3. 시스코는 패치를 적용했으나, 적용 직전에 여섯 개 서버에서 침해 흔적을 발견함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>