자바 생태계의 중요한 라이브러리 중 하나인 아파치 커먼스 텍스트에서 위험한 취약점이 발견되면서 보안 업계는 두 번째 로그4셸 취약점이 나온 거 아니냐고 염려했었다. 하지만 아직까지는 그렇게까지 파급력이 큰 사건으로 보이지는 않는다. 다만 간과할 것도 아니다.

[보안뉴스 문가용 기자] 최근 아파치 커먼스 텍스트(Apache Commons Text)에서 발견된 취약점에 텍스트4셸(Text4Shell)이라는 이름이 붙었다. 로그4j(Log4j)에서 발견된 파급력 높은 취약점 로그4셸(Log4Shell)을 연상케 하는 이름이다. 일부 보안 전문가들 사이에서는 텍스트4셸도 로그4셸과 같은 파급력이 있을 수 있다는 이야기가 나오고 있기도 하다.

​

[이미지 = utoimage]

텍스트4셸 취약점은 CVE-2022-42889이다. 아파치 커먼스 텍스트라는 라이브러리의 1.5~1.9 버전에서 발견되고 있다. 익스플로잇에 성공한 공격자는 원격에서 악성 코드를 실행할 수 있게 된다. 아파치소프트웨어재단(ASF)가 지난 주 간략한 보안 권고문과 함께 취약점을 공개했으며, 1.10.0 버전으로의 업그레이드를 권고했다. 1.10.0은 이미 ASF가 9월 24일에 발표한 버전이다.

CVE-2022-42889는 변수 보간법(variable interpolation)이라고 불리는 기능을 수행할 때 발동된다. 플레이스홀더들에 포함되어 있는 코드 문자열들을 찾거나 분석할 때 사용되는 기능이다. 아파치소프트웨어재단에 의하면 1.5~1.9 버전의 경우 변수 보간법 내 룩업(Lookup) 인스턴스들을 통해 변수 보간법 기능이 발동될 때 임의 코드 실행 환경이 만들어진다고 한다. 이 점은 일부 보안 전문가들이 개념 증명 코드를 통해 입증하기도 했었다. 

보안 업체 제이프로그(JFrog)의 수석 보안 연구원인 샤차르 메나셰(Shachar Menashe)는 “아파치 커먼스 텍스트(ACT)는 매우 인기가 높은 자바 라이브러리”라고 설명하며 “다양한 보간 기능을 실현시켜주는 API를 제공하기 때문에 자산을 동적으로 평가하거나 확장시킬 때 유용하다”고 말한다. “그런데 이 기능들 때문에 오히려 원격 코드 실행 공격이 가능하게 됩니다.”

하지만 로그4셸처럼 영향력이 방대할 것이라고 보지는 않는다고 메나셰는 덧붙인다. “왜냐하면 외부 익스플로잇 공격 상황을 유발하는 주요 요소들이 외부 사용자 입력값을 받아들이는 경우가 거의 없기 때문입니다. 실제 상황에서 공격자가 텍스트4셸을 익스플로잇 하려 한다면 먼저는 공격하고자 하는 자바 애플리케이션을 분석하여 취약한 함수들에 들어갈 입력값을 찾아내야 합니다. 공격의 가성비가 크게 떨어진다고 볼 수 있죠.”

그렇다고 공격 가능성을 아예 배제하는 것도 현명한 건 아니다. “공격 발동 조건을 성립시킬 상황을 찾는 게 힘들기는 해도 불가능한 건 아닙니다. 그리고 하필 그런 상황을 대단히 치명적인 환경에서 찾은 거라면 어떨까요? 원격 코드 실행을 통해 취약한 서버를 장악하고 휘두를 수 있게 됩니다. 다만 아직까지는 CVE-2022- 42889 취약점에 취약하면서도 사용자 입력값을 받아들이는 자바 애플리케이션을 찾아내지는 못했습니다.”

ASF는 커먼스 텍스트를 “표준 자바 개발 키트(JDK)에 없는 기능을 더 해주는 라이브러리”라고 설명한다. 보안 업체 소나타입(Sonatype)이 운영하는 메이븐센트럴자바(Maven Central Java) 리포지터리에는 2588개의 프로젝트에서 현재 커먼스 텍스트 라이브러리가 발견되고 있다. 이 중에는 아파치 하둡 커먼(Apache Hadoop Common), 아파치 벨로시티(Apache Velocity), 스파크 프로젝트 코어(Spark Project Core), 아파치 커먼스 컨피겨레이션(Apache Commons Configuration)과 같은 대형 프로젝트들도 포함되어 있다.

보안 업체 라피드7(Rapid7)의 수석 연구원인 에릭 갈링킨(Erick Galinkin)은 “CVE-2022-42889가 라이브러리의 취약점이긴 해도, 그 영향력이 어마어마할 것이다 혹은 미비할 것이다를 지금 말하는 건 섣부르다”는 입장이다. “하지만 많은 프로젝트들과 애플리케이션들이 문제의 라이브러리에 의존하고 있는 건 맞습니다. 또한 취약점 자체의 잠재적 위험성도 높은 편입니다. 위험함의 요소들은 충분히 갖추고 있는 것이죠. 그러니 패치가 나왔다면 얼른 적용하는 게 현명한 건 틀림없는 사실입니다만 패닉에 빠질 필요까지는 없습니다.”

그 이유는 익스플로잇을 가능하게 하는 조건을 고루 갖춘 애플리케이션들이 눈에 띄지 않기 때문이다. “모든 애플리케이션을 전수 조사한 것이 아니기 때문에 그런 애플리케이션이 있다 없다를 확언하기는 힘들지만 초기 조사가 진행되는 동안에는 하나도 나오지 않은 게 사실입니다. 그러니 위험하긴 하지만 지나치게 걱정하지는 말라는 겁니다. 그리고 그런 애플리케이션이 발견되면 빠르게 알려 위험한 상황을 막으면 됩니다.”

메나셰에 의하면 제이프로그는 현재 보유하고 있는 커먼스 텍스트가 취약한 버전인지 아닌지를 확인해주는 도구를 만들어 오픈소스화 했다. 조직들은 이 도구를 활용해 어느 정도 점검을 이뤄낼 수 있을 것으로 보인다. 깃허브에서 text4shell-tools라는 도구를 검색하면 나온다.

3줄 요약

1. 아파치 커먼스 텍스트 라이브러리에서 위험한 취약점 발견됨.

2. 이 위험한 취약점은 여러 대형 프로젝트에 삽입되어 있음.

3. 다행히 취약점을 익스플로잇 하는 게 꽤나 어려운 일.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=110856&page=1&mkind=1&kind=1)]​