FPGA 칩에서 발견된 스타블리드 취약점, 의견이 분분

발견한 연구자들은 원격 접근도 가능하며 공격 비용 낮다고 위험성 강조

제조사는 원격 접근 불가능하며 비용 낮지 않다며 물리 접근 방어 강조

[보안뉴스 문가용 기자] 현장 프로그래머블 게이트 어레이(Field Programmable Gate Array, FPGA) 칩에서 심각할 수 있는 취약점이 발견됐다. 이 취약점을 통해 많은 장비들이 공격에 노출될 수 있다고 한다.

FPGA 칩셋들은 생산 후 현장에서 프로그래밍이 가능한 회로에 통합된다. 보안 요소들로 간주되며, ICS, 클라우드 데이터센터, 기지국, 의료 장비, 항공 장비 등 다양한 시스템에 적용되어 있다. 독일의 보훔루르대학교와 막스플랑크보안프라이버시연구소의 연구원들은 이런 FPGA 칩셋들을 분석하다가 치명적인 취약점 하나를 발견할 수 있었다. 익스플로잇에 성공할 경우 칩들을 완전히 장악할 수 있다고 하며, 이 취약점에 스타블리드(Starbleed)라는 이름을 붙였다.

코로나19 악용 사이버공격 급증... 자가격리하듯 ‘망분리’로 원천 차단해야

보안전문가 마이크 로이드, ‘코로나=자가격리’ ‘사이버공간=망분리’ 강조

[보안뉴스 권 준 기자] 전 세계적으로 코로나19가 확산되면서 사람들의 불안심리를 악용한 사이버공격이 끊이지 않고 있다. 최근 국내에선 코로나19 이슈를 악용한 사용자 계정 탈취와 스마트폰 해킹을 노리는 스미싱 문자가 9,886건이 탐지됐고, 기업의 약화된 보안관리 체계를 노린 랜섬웨어 공격이 증가하는 등 민간부문의 보안이 위협받고 있다. 구글에 따르면 최근 이메일 서비스 지메일(Gmail)을 통해 검열되는 피싱 메일이 매일 1억개에 달하고, 이 가운데 20%가 코로나19와 관련된 것이라고 밝혔다. 보안업계는 코로나19 장기화에 따라 변화된 기업의 근무환경을 노리는 사이버공격이 앞으로도 지속될 것으로 전망하고 있다. 최근 전염병학 전문가에서 사이버 보안 전문가로 활동하고 있는 RedSeal의 마이크 로이드(Mike Lloyd)는 코로나 바이러스와 사이버 바이러스를 비교한 기고문을 통해 보안에 대한 인사이트를 제공하고 있다.

참조사이트  

 http://www.dailysecu.com

 http://www.boannews.com

 http://www.boan.com

 http://www.dt.co.kr/

 http://www.datanet.co.kr/

 http://www.itdaily.kr

[패치 및 업데이트]

금일 최신 패치 및 업데이트가 없습니다.

[최신 바이러스 정보]

​

​ Trojan/Win32.RL_Generic.C4070458
최초 발견일: 2020-04-21
종    류: 트로이목마, 트로이목마(정보유출)
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명: Trojan/Win32.RL_Generic.C4070458는 사용자의 키보드 입력값을 수집하는 악성 프로그램이다.

[보안TIP]

폭싯 소프트웨어의 인기 PDF 프로그램에서 취약점 20개 패치돼

[보안뉴스 문가용 기자] 폭싯 포스트웨어(Foxit Software)가 자사 PDF 뷰어 및 편집 프로그램에서 발견된 고위험군 취약점 20개를 패치했다. 이 중 심각한 것은 원격 코드 실행을 가능하게 해준다고 한다.

20개의 패치가 적용되어야 할 프로그램은 폭싯 리더(Foxit Reader)와 폭싯 팬텀PDF(Foxit PhantomPDF) 9.7.1.29511 및 하위 버전들이다. 폭싯 리더는 꽤나 인기 높은 PDF 관련 소프트웨어로, 무료 버전의 경우 전 세계 사용자가 5억 명이 넘는 것으로 추정된다. 팬텀PDF는 여러 가지 포맷의 파일을 PDF 포맷으로 변환시켜 준다. 아마존, 구글, 마이크로소프트와 같은 대규모 기업들도 폭싯 소프트웨어 라이선스를 발급할 수 있다.

먼저 폭싯 리더에서 발견된 취약점들 중 심각한 것은 원격 코드 실행을 가능하게 만든다. 이 취약점들과 패치 소식을 발표한 제로데이 이니셔티브(Zeroday Initiative)에 의하면 “피해자가 악성 페이지를 방문하거나 악성 파일을 열도록 유도할 수 있다면 이 취약점을 발동시키는 게 가능하다”고 한다. 이 문제는 9.7.2 버전을 통해 해결이 됐다.

그 외에는 다음과 같은 요소들에서 취약점들이 발견됐다.

1) XFA 템플릿 처리 기능에서 발견된 CVE-2020-10899, CVE-2020-10907 : 객체 확인 절차가 없어 현재 프로세스라는 컨텍스트 내에서 코드를 실행할 수 있게 된다.

2) AcroForms에서 발견된 CVE-2020-10900 : 객체 확인 절차가 없어, 원격 코드 실행을 가능하게 해준다.

3) resetForm에서 발견된 CVE-2020-10906 : 객체 확인 절차가 없어, 원격 코드 실행을 가능하게 해준다.

팬텀PDF에서도 꽤나 위험한 취약점들이 다음과 같이 발견됐지만 역시 9.7.2 버전을 다운로드 받아 업데이트 하면 문제가 해결된다고 한다.

1) API 통신 기능에서 발견된 CVE-2020-10890, CVE-2020-10892) : ConvertToPDF와 CombineFiles라는 명령을 처리하는 과정에서 발견된 오류로 공격자가 파일에 임의의 내용을 저장할 수 있게 해준다. 익스플로잇이 쉽다.

2) SetFieldValue 명령 처리 과정에서 발견된 CVE-2020-10912) : 사용자가 입력한 값에 대한 확인 절차가 없어 임의 코드 실행을 가능하게 해준다.

U3D브라우저 플러그인(U3DBrowser Plugin) 9.7.1.29511 및 이하 버전에서도 11개의 취약점이 발견됐다. 이 플러그인은 PDF 파일에 임베드 된 3D 주석을 볼 수 있게 해주는 기능을 가지고 있다. 취약점들은 다음과 같다.

1) CVE-2020-10896 : 사용자 입력 값의 길이 제한이 없어서 생기는 문제. 오버플로우 유발.

2) CVE-2020-10893 : 사용자 입력 값을 확인하지 않아 오버플로우 현상 유발.

3) CVE-2020-10895 : 사용자 입력 값을 확인하지 않아 오버플로우 현상 유발.

4) CVE-2020-10902 : 사용자 입력 값을 확인하지 않아 오버플로우 현상 유발.

5) CVE-2020-10904 : 사용자 입력 값을 확인하지 않아 오버플로우 현상 유발.

6) CVE-2020-10898 : 사용자 입력 값을 확인하지 않아 오버플로우 현상 유발.

폭싯 측은 3D Plugin Beta 9.7.2.29539 버전을 발표해 위 문제들을 전부 해결했다. 폭싯 소프트웨어는 지난 해 10월에 8개의 고위험군 취약점에 대한 패치를 발표하기도 했으며, 1년 전인 2018년 10월에는 약 100개가 넘는 취약점 패치를 발표하기도 했다.

보다 상세한 내용은 폭싯 소프트웨어의 보안 불레틴(https://www.foxitsoftware.com/support/security-bulletins.php)을 통해 열람이 가능하다.

3줄 요약

1. 인기 높은 PDF 프로그램 두 개에서 취약점 다수 발견됨.

2. 폭싯 소프트웨어에서 만든 것으로 상당히 많은 사용자를 보유하고 있음.

3. 윈도우용 폭싯 리더와 팬텀PDF를 사용하고 있다면 9.7.2 버전으로 업데이트 해야 안전.

http://www.krcert.or.kr/data/secNoticeList.do

http://www.microsoft.com/korea/security/default.mspx

http://www.adobe.com/kr/downloads/updates/