맥OS용 퓨전에서 발견된 권한 상승 취약점...CVE-2020-3850

[이미지 = iclickart]

지난 3월 17일 VM웨어 측은 고객들에게 “맥용 퓨전, 리모트 콘솔(VMRC), 호라이즌 클라이언트(Horizon Client)에서 고위험군 취약점이 발견되었다”고 알리며 “setuid 바이너리의 잘못된 활용과 관계되어 있는데, 익스플로잇 될 경우 공격자의 권한이 매우 높아진다”고 경고한 바 있다. 이 취약점에는 CVE-2020-3950이라는 번호가 부여됐다.

그러면서 VM웨어는 11.5.2 버전을 배포하기 시작했다. 패치가 이뤄진 버전이었다. 하지만 이 취약점을 처음 발견한 보안 전문가 리치 머크(Rich Mirch)와 ‘제프볼(Jeffball)’이라는 인물은 이 패치가 불완전하다는 사실을 발견해 다시 한 번 VM웨어 측에 알렸다. 이미 패치가 완전할 줄 알고 패치 발표일에 맞춰 개념 증명용 익스플로잇과 기술적 세부 사항을 공개한 뒤였다.

그 내용은 여기(https://blog.grimm-co.com/post/analyzing-suid-binaries/)서 상세 열람이 가능하다(영문).

공개된 취약점의 내용은 다음과 같다. “/Applications/VMware Fusion.app/Contents/Library/services에 위치한 setuid 루트 바이너리인 VMware USB Arbitrator Service와 Open VMware Fusion Services는 표준 경로 밖에서 실행될 경우, 공격자가 경로를 임의로 지정할 수 있게 된다. 이를 악용할 경우 바이너리는 경로를 잘못 인식함으로써 공격자의 권한이 올라간다.”

VM웨어는 이러한 내용을 전달 받아 패치를 마련했지만 실패했고, 패치에도 오류가 있음을 전해 듣고는 고객들에게 위험 완화 방법을 서둘러 전파했다. 그러면서 패치를 최대한 빨리 발표하겠다는 약속도 같이 했다.

그래서 나온 것이 11.5.3 버전이다. VM웨어는 “문제를 완전히 해결할 수 있는 버전이 나왔다”고 자신 있게 발표했지만, 실제로는 그렇지 않았다. 제프볼이 새로 나온 패치를 분석한 결과 취약점이 여전히 익스플로잇 가능한 상태라는 걸 발견할 수 있었다. 심지어 개념증명용 익스플로잇까지도 개발했다.

제프볼은 자신의 블로그를 통해 “문제가 됐던 두 가지 요소 중 Open VMware Fusion Services 관련 부분은 해결이 됐지만 Open VMware USB Arbitrator Service 바이너리 부분은 여전히 문제를 포함하고 있다”고 설명했다.

그러면서 제프볼은 이번 픽스에 존재하는 문제가 이른 바 TOCTOU라고 설명했다. TOCTOU는 ‘time-of-check time-of-use’의 준말로, 특정 조건이 확인되는 시간과 그 조건으로 인해 결과가 발생하는 시간 사이에 문제가 나타날 수 있다는 걸 의미한다. “현재는 바이너리의 시작 부분에서만 시그니처가 확인됩니다. 그 다음에는 코드의 변경이 가능하게 됩니다.”

​3줄 요약

1. VM웨어의 일부 제품에서 권한 상승 취약점이 발견됐음.

2. VM웨어는 패치를 발표했으나 실패하고, 다시 패치했으나 또 실패함.

3. 문제의 핵심에 있는 바이너리 두 개 중 하나만 해결이 된 상태.​ 

[국제부 문가용 기자(globoan@boannews.com)] 

[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=87226&page=1&mkind=1&kind=​]​