VM웨어, 자사 제품에서 발견된 위험한 취약점 3개 패치

게시일: 2020. 3. 22 오후 4:48:34

워크스테이션과 퓨전 등에서 발견된 취약점...고위험군 2개와 치명적 위험군 1개

임의 코드 실행, 권한 상승, 환경설정 임의 수정 등 다양한 공격 가능하게 돼

[보안뉴스 문가용 기자] VM웨어가 자사 제품에서 발견된 세 가지 심각한 취약점에 대한 패치를 발표했다. 워크스테이션(Workstation)과 퓨전(Fusion)에서 발견된 치명적 위험도의 취약점도 여기에 포함되어 있다.

[이미지 = iclickart]

이 치명적인 취약점은 CVE-2020-3947로, vmnetdhcpcomponent 요소에서 발견된 임의 코드 실행 버그이다. “이 취약점을 성공적으로 익스플로잇 할 경우 게스트에서부터 호스트로 코드 실행을 할 수 있게 됩니다. 또한 vmnetdhcp 서비스에 대한 디도스 공격도 가능하게 되죠.” VM웨어가 보안 권고문을 통해 발표한 내용이다.

패치된 또 다른 취약점으로는 CVE-2020-3948이 있다. 고위험군으로 분류됐으며, 로컬의 공격자들이 관리자 권한 없이 리눅스 게스트 가상기계에 접근하여 VM웨어 툴즈(VMware Tools)를 설치한 뒤 권한을 상승시킬 수 있게 해준다.

“VM웨어 워크스테이션과 퓨전에서 실행되는 리눅스 게스트 가상기계들은 권한 상승 취약점을 가지고 있습니다. 이는 코타도 씬프린트(Cortado Thinprint)라는 요소의 파일 허용 및 권한이 잘못 설정되어 있기 때문에 발생하는 현상입니다.” VM웨어 측의 설명이다.

이 두 가지 취약점 모두 워크스테이션 15.x(모든 플랫폼)와 퓨전 11.x(맥OS)에 영향을 준다. 패치가 포함된 버전은 각각 15.5.2와 11.5.2다.

마지막 취약점은 CVE-2019-5543이며, 고위험군 권한 상승 취약점으로 분류되고 있다. 윈도우용 워크스테이션과 VM웨어 호라이즌 칼리어언트(VMware Horizon Client), VM 원격 콘솔(VM Remote Console)에서 발견되었다.

이 취약점은 로컬의 공격자가 아무 사용자로 둔갑하여 명령을 실행시킬 수 있게 해준다. VM웨어 USB 서비스와 관련된 환경설정 파일이 저장된 폴더가 모든 사용자들에게 ‘쓰기 가능’ 기능을 제공하기 때문이다. 즉 아무 사용자나 환경설정 파일을 만질 수 있다는 것이다.

이 취약점의 경우 다음 제품과 버전을 통해 해결됐다.

1) 윈도우용 워크스테이션 15.5.2

2) 윈도우용 VM웨어 호라이즌 클라이언트 5.3.0

3) 윈도우용 VMRC 11.0.0

3줄 요약

1. VM웨어의 제품에서 발견된 세 가지 취약점이 패치됨.

2. 하나는 치명적 위험군, 다른 두 개는 고위험군으로 분류됨.

3. 윈도우용, 맥OS용 등 여러 플랫폼에서 발견된 취약점이니 패치 필수.

[국제부 문가용 기자(globoan@boannews.com)]

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

우리가 해킹 스터디를 할 때 필수적으로 필요한 LINUX가동을 윈도우에서 하기 위해 주로 쓰이는 VMware가 3개의 CVE에 노출되어 이를 패치했다는 내용이다.

CVE-2020-3947은 vmnetdhcp의 취약점에 관한 내용이다. vmnetdhcp 안에 있는 vmnetdhcpcomponent 요소에서 Use-After-Free (UAF) 취약점이 발생하여 이를 이용해 DoS 공격이나, 윈도우의 vmnetdhcp.exe 프로세스를 악의적으로 조정할 수 있다는 취약점이다.

CVE-2020-3948역시 UAF에 의한 취약점이다. 이는 Cortado Thinprint라는 프린트 어플리케이션이 가지고 있는 취약점을 이용해 권한을 상승할 수 있다. 이를 통해 로컬에서 공격을 성공한 공격자들이 VMTools를 설치하여 외부로 부터 추가적인 공격자들의 권한 역시 상승 시켜줄 수 있게 된다.

CVE-2020-5543은 특정 VM웨어의 소프트웨어중 Mitsubishi Electric MELQIC IU1 series IU1-1M20-D firmware version 1.0.7 펌웨어를 가지고 있는 소프트웨어들이 있는데, 이 펌웨어의 TCP 동작 과정 중에서 세션 과정이 정상적으로 동작하지 않아, 이 때 세션을 탈취해 공격자들이 네트워크를 중단시키거나 말웨어를 패킷에 동봉하는 악의적인 행위를 할 수 있는 취약점이다.

고전의 소프트웨어들이 최근의 VM버전 까지에도 남아 취약점을 일으킨 형태이지 않을까 싶다. 버전 업을 할 때 마다 세부적인 소프트웨어들의 버전 검사 및 취약점 검사를 해주는 프로그램이 개발되면 이러한 형태의 CVE가 줄을 것 같다.