리얼텍 와이파이 모듈과 관련된 리눅스 드라이버, 버퍼 오버플로우에 약해

[이미지 = iclickart]

이 취약점은 CVE-2019-17666으로, rtlwifi 드라이버라는 구성 요소 내부에 존재한다. rtlwifi는 일종의 소프트웨어로, 특정 리얼텍(Realtek) 와이파이 모듈을 허용하기 위해 사용된다. 리눅스 장비들에서 자주 발견되는 요소이며, 리눅스 OS와 직접 통신하는 요소이기도 하다.

문제는 이 드라이버가 버퍼 오버플로우 공격에 취약하다는 것이다. “메모리 저장 공간의 물리적 영역인 버퍼는 데이터를 임시로 저장하는 데 사용됩니다. 이 버퍼가 메모리의 힙(heap) 부분에 위치해 있습니다. 힙 부분이란, 동적 변수들을 저장하는 데 사용되는 메모리의 한 영역입니다.” 이 버그를 발견한 깃허브(GitHub)의 수석 보안 엔지니어인 니코 와이즈만(Nico Waisman)의 설명이다.

무슨 말일까? “메모리의 특정 영역이 오버플로우(overflow), 즉, 넘쳐나는 현상이 생긴다는 겁니다. 이 때 가까이에 있는 메모리 공간을 변형시키고 그 과정에 데이터를 변경시킬 수 있습니다. 다양한 악성 공격을 위한 문이 열리기도 합니다. 굉장히 심각한 성질의 버그라고 볼 수 있습니다. 무선 통신이 가능한 거리 내에 있는 공격자가 rtlwifi 드라이버를 통해 장비를 공격할 수 있게 됩니다.”

그러면서 와이즈만은 “rtlwifi 드라이버 내에 NoA(Notice of Absence, 부재 통보) 프로토콜이라는 게 있다”고 다시 한 번 설명을 시작한다. “장비가 자동으로 전력을 아낄 수 있도록 무선 파워를 낮추는 기능을 가지고 있습니다. 이 NoA 프로토콜 패킷을 처리할 때 길이 확인이 제대로 되지 않는다는 겁니다. 공격자가 이를 활용해 엉뚱한 정보를 추가하면 시스템이 마비될 수 있습니다.”

와이즈만에 의하면 이 오류를 익스플로잇 하기 위해서 공격자는 악성 패킷을 장비로 전송해야만 한다. 당연히 위 취약점을 발동시킬 수 있는 패킷이어야 한다. “다만 이렇게 하려면 무선 거리(radio range) 내에 공격자와 피해자가 있어야 합니다. 인증 과정을 통과해야 할 필요는 없습니다.”

취약점 발동에 한 번 성공하기만 하면 다양한 공격이 이어질 수 있다. “취약점을 발동시킨다는 건 메모리가 넘쳐나는 상황을 만든다는 겁니다. 이 경우 리눅스 OS가 마비되도록 할 수도 있지만, 미세한 조정을 통해 원격에서 코드를 실행할 수 있는 상태로 만들 수도 있습니다. 물론 이게 쉬운 일은 아닙니다.”

리눅스 커널 OS 5.3.6 버전까지가 이 취약점에 노출된 상태라고 한다. 또한 지난 4년 동안 계속 존재해왔었다는 것도 추가 조사를 통해 발견됐다. 보안 전문가들만 늦게 발견한 것인지, 해커들 사이에서도 알려지지 않은 것인지는 정확히 알 수 없다. 리눅스 커널 팀은 패치를 개발해 실험 중에 있다고 발표했지만, 아직 사용자들에게까지 전달되지는 않고 있다.

“4년 동안 발견되지 않았다는 건, 공격자들이 그 동안 마음껏 이 문제를 활용했을 가능성이 높다는 걸 뜻합니다. 와이파이와 관련된 리눅스 프로토콜을 공격 가능케 하는 것이니 주로 사물인터넷 장비들이 위험했을 거라고 예상할 수 있습니다. 다만 무선 거리 내에 공격자가 있어야 한다는 것이 공격의 만연해짐을 억제하고 있었을 수도 있습니다. 일반 공격자들보다는 동기가 분명한 고차원적인 공격자들이 활용했을 가능성이 높습니다.” 와이즈만의 설명이다.

3줄 요약

1. 4년 동안 발견되지 않은 리눅스 와이파이 관련 프로토콜 취약점이 발견됨.

2. 무선 거리에 있으면, 특정 패킷을 전송해 장비를 장악하고 다양한 공격 가능케 해주는 취약점.

3. 리눅스 커널 개발자들은 패치 개발했다고는 하나, 아직 배포는 하지 않고 있음. 

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=83908&page=1&mkind=1&kind=1]​