다양한 데스크톱 애플리케이션에서 원클릭 취약점 발견돼

 

 

1-Click Hack Found in Popular Desktop Apps — Check If You're Using Them

 

다양한 인기 소프트웨어에서 원클릭 취약점 다수가 발견되었습니다. 공격자가 이 취약점을 악용할 경우 잠재적으로 타깃 시스템에서 임의 코드를 실행할 수 있습니다.

 

Positive Security의 보안 연구원인 Fabian Bräunlein, Lukas Euler가 발견한 이 문제는 Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, Bitcoin/Dogecoin Wallets, Wireshark, Mumble과 같은 프로그램에 영향을 미칩니다.

 

연구원들은 아래와 같이 설명했습니다.

 

“운영 체제에서 오픈할 사용자 제공 URL을 전달하는 데스크톱 애플리케이션은 사용자 상호작용이 필요한 코드 실행 공격에 취약할 수 있습니다. 인터넷에서 접근이 가능한 파일 공유 (nfs, webdav, smb, …)에서 호스팅되는 악성 실행파일 (.desktop, .jar, .exe, …)이 실행될 경우 혹은 오픈된 애플리케이션의 URI 핸들러 내 추가 취약점을 악용할 경우 코드 실행이 가능할 수 있습니다.”

 

이 취약점은 설치된 운영 체제의 도움을 받아 의도치 않게 악성 파일을 실행하게 되며, URL 입력에 대한 유효성 검사 불충분으로 인해 발생합니다.

 

Positive Security의 분석에 따르면 많은 앱이 URL의 유효성을 검사하지 못해 공격자가 공격 코드를 가리키는 특수 제작 링크를 생성할 수 있어 원격 코드 실행이 가능해집니다.

 

 

<이미지 출처 : https://positive.security/blog/url-open-rce>

 

 

이 사실이 공개된 이후, 대다수의 애플리케이션은 해당 취약점을 수정하기 위한 패치를 공개했습니다.

 

Nextcloud – 2월 24일 공개된 데스크톱 버전 3.1.3에서 수정됨 (CVE-2021-22879)
Telegram – 1월 11일 문제가 제보되었으며 2월 10일 이전 서버 측 변경을 통해 수정됨
VLC Player – 1월 18일 문제가 제보되었으며, 다음 주 패치된 버전인 3.0.13 공개 예정
OpenOffice – 패치 제공 예정 (CVE-2021-30245)
LibreOffice – 윈도우에서는 수정되었으나 Xubuntu 환경에서는 취약함 (CVE-2021-25631)
Mumble – 2월 10일 공개된 버전인 1.3.4에서 수정 (CVE-2021-27229)
Dogecoin – 2월 28일 공개된 버전 1.14.3에서 수정
Bitcoin ABC – 3월 9일 공개된 버전 0.22.15에서 수정
Bitcoin Cash - 버전 23.0.0에서 수정됨 (현재 공개 프로세스 진행 중)
Wireshark – 3월 10일 공개된 버전 3.4.4에서 수정됨 (CVE-2021-22191)
WinSCP – 1월 26일 공개된 버전 5.17.10에서 수정됨 (CVE-2021-3331)

 

연구원들은 아래와 같이 덧붙였습니다.

 

“이 문제는 타깃 시스템의 애플리케이션 스택이 여러 계층에 걸쳐 있기 때문에, 관리자들이 완화 조치를 직접 구현하는 부담을 덜기 위해 다른 누군가에게 책임을 넘기려 할 가능성이 높습니다. 하지만 클라이언트 시스템 및 구성 상태가 다양하기 때문에 관련된 모든 당사자가 일정량의 책임을 지고 URL 유효성 검사, 원격 공유 자동 마운트 방지 등의 작업을 나누어 수행하는 것이 중요합니다.”

 

 

 

 

출처:

https://thehackernews.com/2021/04/1-click-hack-found-in-popular-desktop.html

https://positive.security/blog/url-open-rce