레노버의 랩톱 100종에서 세 개의 펌웨어 취약점이 발견됐다. 두 개는 공정 과정에서 실수로 삽입된 것이라고 하고, 하나는 메모리와 관련된 것이다. 익스플로잇 할 경우 공격자는 여러 가지 악성 멀웨어를 몰래 심고 계속해서 발동시킬 수 있게 된다.

[보안뉴스 문가용 기자] 100종이 넘는 레노버 랩톱 컴퓨터들의 펌웨어 층위에서 세 개의 심각한 취약점이 발견됐다. 이 때문에 전 세계 수백만 레노버 제품 사용자들이 위험에 노출된 상태라고 한다. 펌웨어 층위에 취약점이 있다는 건 하드드라이브를 갈아 끼우거나 OS를 다시 설치해도 위협이 사라지지 않는다는 뜻이다.

[이미지 = utoimage]​

세 개의 취약점 중 두 개는 CVE-2021-3971과 CVE-2021-3972로, UEFI 드라이버와 관련이 있다. 이 드라이버들은 제작 과정 중에만 사용되도록 만들어진 것인데, 바이오스 이미지에 삽입된 채 시장에 나오게 되었다. 세 번째 취약점인 CVE-2021-3970은 메모리 변경 문제를 일으키는 오류로, 시스템 오류를 탐지하는 함수에서 발견됐다.

보안 업체 이셋(ESET)이 이 취약점들을 제일 먼저 발견하여 레노버 측에 알렸다고 한다. 알린 시점은 2021년 10월이었다. 레노버는 이번 주 바이오스 업데이트를 배포하며 취약점 해결에 나섰다. 레노버의 자동 업데이트 도구가 이미 설치되어 있지 않은 경우라면 이 패치를 수동으로 받아 설치해야 한다.

UEFI 펌웨어는 시스템 보안 및 무결성 유지와 관련이 있는 요소로, 특히 컴퓨터에 시동이 걸리는 과정(부팅) 중에 시스템을 보호한다. 이 펌웨어 내에는 컴퓨터가 신뢰할 수 있으며, 부팅에 사용할 수 있는 정보들이 저장되어 있다. 그러니 이 펌웨어 자체에 멀웨어가 심겨져 있다면 컴퓨터가 부팅되기 전, 그리고 보안 도구들이 발동되기 전부터 악성 코드를 실행시킬 수 있게 된다.

최근 UEFI 펌웨어에 설치하기 위한 목적으로 여러 가지 멀웨어들이 설계되고 또 만들어지고 있다. 부팅보다 빠르게 실시되는 악성 코드의 효과를 공격자들이 깨달은 것이다. 그렇게 등장한 멀웨어 중 하나가 로잭스(LoJax)다. 러시아의 세드닛(Sednit) 그룹이 사용한 것으로 보이는 펌웨어 룻키트로, 역시 이셋이 발견했었다. 문바운스(MoonBounce)라는 것도 있다. 카스퍼스키(Kaspersky)가 발견한 것으로 대단위 사이버 정찰 캠페인에 활용되고 있었다.

이셋의 멀웨어 분석가인 마틴 스몰라(Martin Smolar)는 “두 개의 레노버 드라이버들이 실수로 바이오스에 포함되었고, 비활성화되지 않은 채 출시됐다”고 설명하며 “레노버 제품들이 각종 멀웨어에 감염되는 통로가 될 수 있다”고 경고한다. “가장 기본적인 보안 시스템을 무력화시킬 수 있게 하는 취약점입니다. 높은 권한을 가진 공격자라면, 시스템의 펌웨어를 다운그레이드 함으로써 취약점을 익스플로잇 할 수도 있습니다. ”

마지막 취약점인 CVE-2021-3970의 경우 익스플로잇에 성공할 경우 시스템 관리 RAM(SM RAM : 시스템 관리 권한을 가진 코드를 저장하는 메모리)을 공격자가 임의로 읽을 수 있게 되며, 심지어 임의로 메모리 내용을 쓸(write) 수도 있게 된다. 이는 공격자가 시스템 관리 권한을 가진 코드를 실행시킬 수도 있게 된다는 뜻이다.

레노버는 보안 권고문을 통해 이 오류들이 ‘중위험군’에 속한다고 주장했다. 또한 익스플로잇을 하려면 공격자들이 다른 취약점을 통해 권한을 먼저 상승시켜야 한다고 설명하기도 했다. CVE-2021-3970은 일부 레노버 제품군에서 발견된 취약점으로, 인증 과정 혹은 확인 과정이 불충분해서 발생한다고 한다. 나머지 두 개 취약점은 드라이버를 삭제하거나 비활성화시키는 걸 잊은 것에 기인한다고 인정했다.

그 외에 레노버는 취약한 장비를 소유한 사용자들이 현재 환경에 맞는 바이오스 업데이트를 어디서 다운로드 받으며, 어떻게 설치하는지도 상세히 안내하고 있다.

3줄 요약

1. 레노버 랩톱 일부 모델의 펌웨어에서 취약점 발견됨.

2. 익스플로잇 할 경우 공격자는 각종 악성 코드를 은밀히 숨길 수 있게 됨.

3. 레노버는 패치와 함께 설치법도 안내 중.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=106198&page=4&mkind=1&kind=1)]​