Breaking
사이버 보안(Cybersecurity)
방화벽도 믿을 수 없다…'쿠조 스마트 방화벽'서 11가지 보안 취약점 발견돼 '충격'
2019-05-28 17:49:53
김지연
▲시스코 탈로스의 연구진이 쿠조의 스마트 방화벽에서 11가지 취약점을 발견했다(사진=ⓒ123RF)

[라이헨바흐=김지연 기자] 쿠조(CUJO)의 쿠조 스마트 방화벽(CUJO Smart Firewall)에서 11가지나 되는 보안 취약점이 발견돼 충격을 주고 있다.

쿠조 스마트 방화벽은 멀웨어 감염, 피싱, 해킹 등 여러 사이버 위협으로부터 홈 네트워크를 안전하게 지키도록 설계된 방화벽이다. 

그런데 이 발견으로 결국, 방화벽도 믿을 수 없게 됐다.

시스코 탈로스(Cisco 탈로스)의 연구진이 쿠조 스마트 방화벽에서 11가지 취약점을 발견했다. 사이버 공격자가 이 버그에 침투하면 안전 브라우징 기능을 우회해 장치를 완벽하게 제어할 수 있었다.

쿠조와 시스코 탈로스는 방화벽 장치에서 탐지된 보안 문제를 조사하는 데 협력했다. 이것은 시스코 탈로스의 통합 공개 정책의 일부이기도 하다. 이들은 문제의 근본 원인을 파악한 후 모든 사용자를 위해 펌웨어 패치를 제공해 문제를 해결했다.

쿠조 스마트 방화벽의 취약점은 임의의 코드 실행 또는 취약한 시스템에 서명되지 않은 커널 업로드 등의 방법으로 악용될 수 있다.

리눅스 기반 운영 체제에서 PaX 패치가 있는 커널을 실행하는 옥테온의 소프트웨어 개발 키트(SDK)를 기반으로 한 스마트 방화벽 장치는 사물인터넷(IoT) 어플라이언스에서는 일반적이지 않다. 방화벽의 버그에 따라 장치가 원격 코드 실행에 취약하다는 사실도 발견됐다.

가능한 공격 방법

연구진은 공격자가 인증을 우회해 코드를 원격으로 실행하는 데 사용할 수 있는 두 가지 방법을 발견했다. 하나는 웹루트 브라이트 클라우드 SDK 서비스고 다른 하나는 루나틱 루아 엔진이다.

첫 번째는 탈로스-2018-0683을 웹루트 브라이트 클라우드 SDK 서비스의 취약성으로 묘사한다. 이 서비스는 웹사이트의 분류 및 평판 데이터를 수집하는 데 사용된다. 

쿠조 스마트 방화벽은 웹사이트를 탐색하는 사용자를 보호하기 위해 이 서비스를 사용한다. 그런데 브라이트 클라우드 버그가 악용되면 악의적인 공격자가 브라이트 클라우드 서비스 자체를 악성 코드 실행용으로 활용할 수 있다.

그러나 브라이트 클라우드 SDK는 기본 설정에서 HTTP 연결을 사용해 다른 브라이트 클라우드 서비스와 통신하므로 공격자가 쿠조와 브라이트 클라우드 간의 트래픽을 가로채 탈로스-2018-0683을 부당하게 렌더링하도록 만든다.

▲쿠조 스마트 방화벽은 웹사이트를 검색하는 사용자를 보호하는 서비스다(사진=ⓒ123RF)

두 번째 방식은 루나틱 루아 엔진에 집중하는 것이다. 이 엔진은 기기가 사용하는 방화벽이 전체 네트워크의 트래픽을 분석할 때 필수적인 커널 컨텍스트 내에서 루아 스크립트를 실행하는 데 사용되는 것이다. 

탈로스-2018-0703 취약점은 네트워크의 인증되지 않은 사용자가 루아 스크립트를 실행할 수 있도록 하는 버그다. 이것은 HTTP 요청에서 임의의 호스트를 포함한다.

루나틱 엔진의 'load()' 루아 기능에서는 공격자가 커널에서 임의의 코드를 실행할 수 있다. 또한, 루나틱 루아 엔진은 방화벽 장치가 우연히 임의의 호스트 이름을 추출하고 분석하는 탈로스-2018-0702 취약점을 지니고 있다. 

탈로스-2018-0702와 탈로스-2018-0703은 서로 묶여서 사용자의 기기가 루아 주입을 촉구하는 자바스크립트 POST 요청을 네트워크에서 강제 실행하도록 만들어 커널에서 코드가 실행되게 한다.

기타 취약점

앞서 언급한 버그는 로컬 네트워크에서 실행될 수 있으며 '검증된 부트 우회'로 체인화돼 방화벽 장치에 큰 손실을 줄 수 있다. 

두 가지 코드 실행 취약점 또한 다중 도메인 네임 시스템(mDNS) 메시지 파싱에 영향을 미친다. 방화벽 장치는 영향을 받은 'mdnscap' 프로세스가 낮은 권한 환경에서 실행되도록 강제한다. 그러면 공격자는 네트워크에 더 많은 권한을 얻을 수 있다.

쿠조 스마트 방화벽 사용자는 장치를 구성하는 응용 프로그램을 사용할 수 있다. 이 앱은 안드로이드와 iOS 플랫폼 모두에서 제공된다. 

그러나 방화벽 장치가 동적 호스트 구성 프로토콜(DHCP) 요청에 대한 라우터 역할을 하므로 이 앱이 정적 DHCP 항목을 만드는 데 사용될 가능성도 있다. 

탈로스-2018-0627 취약점은 사용자로 위장한 공격자 임의 명령에 따라 DHCP 호스트 이름이 어떻게 처리되는지 보여준다.

위에서 언급 한 모든 버그 중 탈로스-2018-0633은 쿠조 측이 수정할 수 없는 취약점이다. 이 버그는 부팅 프로세스를 수정하지 못하도록 하는 오픈 소스 기본 부트 로더인 '다스 U-Boot'에서 발견된 버그다. 

이 취약점 때문에 장치의 다스 U-Boot에서 피트 이미지의 서명이 시행되지 않는다.

펌웨어 업데이트

연구진은 이미 취약점으로 인해 영향을 받은 방화벽 장치의 펌웨어 버전을 테스트했으며 버전 7003이 영향을 받았다는 결론을 내렸다. 그리고 쿠조는 시스코 탈로스가 발견한 문제에 대해 시스템 업데이트를 완료했다.

시스코 탈로스는 "이런 장치는 일반적으로 홈 네트워크 환경을 보호하기 위해 사용되기 때문에 민감한 위치에 있다. 사용하는 장치가 영향을 받았다고 생각된다면 가능한 한 빨리 펌웨어 업데이트를 해 장치가 취약점에 의해 해킹당하지 않도록 조처를 해야 한다"고 전했다.

[라이헨바흐=김지연 기자]