오픈소스 FTP 프로토콜인 프로FTPD, 작년 9월부터 보안 구멍 가지고 있어

[이미지 = iclickart]

프로FTPD는 “고성능, 고호환성, 고안전성을 자랑하는 FTP 서버 구축을 위한 오픈소스”라고 광고되는 프로토콜이다. 프로FTPD는 많은 조직들과 프로젝트에 사용되고 있으며, 특히 리눅스와 유닉스 환경에서 인기가 높다. 소스포지(SourceForge), 삼바(Samba), 링크시스(Linksys) 등이 대표적으로 프로FTPD를 사용하는 곳이다. 

이 프로FTPD에서 취약점을 발견한 건 독일의 보안 전문가인 토비아스 마델(Tobias Mädel)이다. 파일과 폴더를 같은 서버로 복사할 때, 클라이언트로 데이터를 먼저 옮기지 않아도 되게끔 해주는 mod_copy라는 모듈을 사용하다가 이상한 점을 발견했다고 한다. 참고로 이 모듈은 거의 모든 OS에서 디폴트 상 활성화 되어 있다.

마델은 “취약점을 익스플로잇 하려면, 공격 표적이 되는 기기로의 접근이 가능해야 한다”고 운을 뗐다. 여기서 말하는 접근은 물리적 접근만을 말하는 게 아니다. “예를 들어 오픈소스(Open Source)라는 미러 서버에 대한 공격을 생각해볼 수 있습니다. 왜냐하면 오픈소스 미러 서버들에 쉽게 익명으로 접근할 수 있고, 대부분 프로FTPD를 사용하며, 많은 바이너리 파일들을 호스팅하기 때문입니다.”

그러면서 마델은 “악성 파일을 오픈소스 미러 서버가 있는 기계에 심는 것까지 성공을 한다면, 그 파일을 가지고 미러 서버에 있는 어떤 파일이라도 덮어쓰기를 할 수 있다”고 설명을 이어간다. “이런 공격을 통해 .iso 파일이나 .exe 파일을 악성으로 바꿀 수 있죠.”

또 다른 공격 시나리오로는 “자동 업데이트 파일을 감염시키는 것”이 있다. “업데이트 서버에 프로FTPD가 사용되고 있는 인기 높은 오픈소스 XMPP 클라이언트인 가짐(Gajim)의 경우, 프로FTPD의 취약점을 악용해 임의 파일을 서버로 업로드시킴으로써 자동 업데이트 과정을 오염시킬 수 있습니다. 그래서 이 문제를 가짐 개발자들에게 미리 알려준 상태입니다.”

쇼단 검색엔진을 통해 “ProFTPD Anonymous(즉, 익명 접근을 허용하는 서버들)”를 검색했을 때 약 2만 8천 개의 취약한 서버들을 찾아낼 수 있다. 대부분 미국(9400)에 있으며, 그 뒤를 이어 독일(2600), 일본(2000), 러시아(1300), 프랑스(1200)이 심각한 상태였다. 그러나 쇼단을 통해 나온 서버들이 전부 취약한 건 아닐 수 있다고 마델은 설명했다.

데비안 리눅스와 수세 리눅스 개발자들도 이와 관련된 보안 권고문을 발표했다. 이쪽 개발자들은 마델이 발견한 취약점에 대해 “원격 코드 실행과 인증 없는 정보 노출을 허용하는 공격”이라고 설명했다. 그러나 마델은 “원격 코드 실행은 이론적으로는 가능하지만, 실제로 실행하기는 매우 어렵다”는 의견이다. “PHP와 프로FTPD를 같이 사용하고 있는 웹 서버가 익명 접근도 허용하도록 설정이 되어 있는 상태여야만 원격 코드 실행 공격이 가능합니다.”

마델은 이와 같은 연구 결과를 프로FTPD 개발자들에게 2018년 9월에 알렸다. 그러나 최근까지도 프로FTPD 측은 아무런 조치를 취하지 않고 있었다. 마델은 이 사실을 데비안 리눅스 보안 팀에 알렸고, 데비안 팀이 프로FTPD에 연락을 취하자 그제야 프로FTPD 개발자들이 움직이기 시작했다고 한다. 하지만 아직 패치가 적용된 새 버전이 발표되지는 않고 있다. 

3줄 요약

1. 리눅스와 유닉스 체제에서 인기높은 FTP 프로토콜에서 취약점 발견됨.

2. 정보 노출 및 원격 코드 실행을 가능하게 해주는 취약점임.

3. 작년 9월에 발견되었으나 해당 프로토콜 개발자들은 최근에야 움직이기 시작.

[국제부 문가용 기자(globoan@boannews.com)] 

[출처 : 보안뉴스(https://www.boannews.com), https://www.boannews.com/media/view.asp?idx=81727&page=1&kind=1​]