구글의 프로젝트 제로, FireEye 제품의 심각한 취약점 발견

구글의 프로젝트 제로, FireEye 제품의 심각한 취약점 발견

Google's Project Zero uncovers critical flaw in FireEye products

구글의 Project Zero 팀이 FireEye 제품들에서 원격 코드 실행 및 전체 컴퓨터 시스템을 해킹으로 이어질 수 있는 취약점을 발견하였습니다. 

구글의 Project Zero팀의 Tavis Ormandy는 블로그 포스트를 통해 FireEye의 주력 제품들은 네트워크 모니터링을 기반으로 하기 때문에, 심각한 보안 취약점으로 인해 기업 네트워크를 파괴해버릴 수도 있다고 설명했습니다. 

FireEye의 제품들은 종종 패시브 모니터링 기기의 형태를 취하기 때문에 기업 네트워크를 안전하게 유지하고나 하는 목적으로 가끔 네트워크를 도청할 수 있는 권한을 갖게 되며, 이메일 시스템에 접근하여 첨부파일 등을 다운로드 할 수 있게 됩니다. 하지만 보안 취약점으로 인해 공격자가 이 모든 아이템들에 접근할 수 있게 되고, 문제가 생기는 것입니다.

이 원격 코드 실행 취약점은 Project Zero의 666번째 보안 권고로 등록 되었으므로, “666”으로 명명 되었습니다. 이 취약점에 영향을 받는 제품은 NX, FX, AX, EX 제품 시리즈로 확인되었습니다. 

이 취약점은 Java JAR 파일들을 분석하는 MIP(malware Input Processor) 서브시스템 모듈에 존재하며, 내용 디컴파일을 시도합니다. 일단 디컴파일 되면, 모듈은 악성 코드 패턴을 체크하지만 공격자가 기업 네트워크에 문자열 난독화에 쓰일 파일을 보내면, 이 버그는 디컴파일러를 속여 패시브 모니터링 인터페이스를 통해 JAR 파일을 이동 시켜 임의의 쉘 커맨드를 실행하도록 하는데 악용될 수 있습니다. 

이 취약점을 이용하면 권한 상승이 가능하며, 잠재적으로 네트워크 감시, 루팅, 시스템 탈취 및 데이터 도난으로 이어질 수 있습니다. 

이에 FireEye는 단 2일 만에 이에 대한 패치를 공개했습니다. FireEye는 성명서를 통해, 매 시간마다 동작하는 보안 컨텐츠 자동 업데이터를 통해 패치 작업이 신속히 완료 되었으며, 완전 패치는 지난 월요일 공개 되었다고 밝혔습니다.

현재 해당 제품을 사용 중이라면, 이 심각한 버그를 악용한 공격을 받기 전에 최대한 빨리 시스템을 업데이트 해야 할 것입니다.

참고 : 

http://www.zdnet.com/article/googles-project-zero-uncovers-critical-flaw-in-fireeye-products/

http://googleprojectzero.blogspot.com.au/2015/12/fireeye-exploitation-project-zeros.html

https://www.fireeye.com/content/dam/fireeye-www/support/pdfs/fireeye-rce-vulnerability.pdf