‘ActiveFax’는 로컬상의 원격 PC에서 팩스기능을 지원하는 프로그램이다. 즉 네트워크 프린터와 같은 기능이다. ‘ActiveFax’는 서버구성 단계에서 사용자 및 그룹을 Import 할 수 있는데, 이 때 다량의 데이터를 삽입한 Import 파일을 불러오게 되면 Buffer의 크기제한으로 인해 버퍼 오버플로우(Buffer Overflow)가 발생할 수 있다는 것이 발표됐다.
 
주로 사내용도로 사용하기 때문에 외부파일을 Import하는 경우는 드물겠지만, 만일의 경우 공격이 진행된다면 ‘ActiveFax’ 프로그램의 사내서버를 탈취 당할 수 있다.
 
ActiveFax의 취약점을 발표한 NSHC(대표 허영일)의 Red Alert Team 봉용균 연구원은 “직접 팩스와 연결된 PC에서 서버를 구성하고 간접적으로 연결된 기타 PC에서 클라이언트 프로그램을 이용해 원격으로 팩스를 사용하는데 해당 취약점은 서버구성과정에서 Payload가 삽입된 파일을 Import 함으로써, 발생할 수 있는 버퍼 오버플로우 취약점”이라고 설명했다.
 
사용자 및 그룹을 설정해둔 Import 파일에 다량의 데이터를 삽입한다. 이때 프로그램 자체에서 Import될 파일의 기본정보를 확인하기 때문에 필요한 기본정보를 삽입하고 그 외의 데이터를 Payload로 구성한다.
 
Payload는 단순한 Buffer Overflow 동작을 수행한다. 기본적으로 프로그램 자체에 Shell Code로 흐름을 변경하는데 도움되는 주소 값이 Stack에 존재하기 때문에 조금 더 수월하게 Exploit되는 것이다.
 
봉용균 연구원은 “해당 프로그램은 버퍼 오버플로우 취약점이 있었고, 이에 대한 익스플로잇이 가능했다. 익스플로잇 과정에서 확인된 추가적인 문제점이 있었는데, 버퍼가 위치한 공간의 EIP 부분 바로 밑에 삽입된 데이터에 대한 포인터가 지정되어 있었다”며 “이것은 익스플로잇에서 크게 작용할 만한 문제점은 아니지만 취약점을 발견하는 과정에서는 비교적 쉽게 익스플로잇 코드를 완성시켰을 것이라 생각된다”고 밝혔다.
 
대응 방안에 대해 그는 “특정 공간에서 단독으로 운영되는 네트워크 환경의 디바이스라고 해서, 외부의 공격으로부터 안전하기만 할 수는 없다”며 “비교적 공격에 덜 노출되어 있다 할지라도, 검증된 파일만 열어서 사용하며, 네트워크 환경의 디바이스를 컨트롤 하는 서버에는 가급적 외부의 파일을 사용하지 말고 직접 검증작업을 거친 파일을 사용해야 한다. 또한 내부에서 해당 파일을 이용해 서버의 시스템권한을 이용하려는 시도가 있을 수 있으므로 권한 밖의 대상이 접근할 수 없도록 제한해야 한다”고 권고했다.
 
보다 자세한 내용은 페이스북 Red Alert Team 페이지에서 다운로드 할 수 있다.  
(www.facebook.com/minkwon.gil#!/R3d4l3rt.Notice)
 
데일리시큐 길민권 기자 mkgil@dailysecu.com ?