‘부트홀’ 취약점으로 수십억 개의 Windows, Linux 시스템이 위험에 처하다

기업 보안 연구 회사인 Eclypsium의 연구원들이 부트 로딩 과정에서 공격자가 악성 코드를 삽입하고 실행할 수 있는 GRUB2 부트로더의 심각한 취약점을 발견했습니다.

CVE-2020-10713으로 추적되는 이 취약점은 “부트홀(BootHole)”로 명명되었으며, 시스템이 부팅될 때 운영 체제(OS)를 메모리에 로드하는 소프트웨어인 GRUB2(Grand Unified Bootloader)의 버퍼 오버플로우 취약점입니다.

이 결함은 공격으로부터 부트 프로세스를 보호하기 위해 설계된 구성 요소인 Secure Boot를 사용하는 GRUB2를 사용하는 모든 운영 체제(OS)를 위험에 빠뜨립니다. 또한, 이 취약점은 GRUB2를 사용하지 않는 Secure Boot를 사용하는 시스템에도 영향을 미칩니다.

“거의 모든 서명된 GRUB2 버전이 취약하므로 사실상 모든 Linux 배포판이 영향을 받습니다. 또한 GRUB2는 Xen과 같은 다른 운영 체제, 커널 및 하이퍼바이저를 지원합니다. 이 문제는 표준 Microsoft 제3자 UEFI 인증 기관을 사용하는 Secure Boot를 사용하는 모든 Windows 장치에도 확장됩니다.”라고 Eclypsium은 보고서에서 설명했습니다.

그 결과, 대부분의 노트북, 데스크탑, 서버 및 워크스테이션은 물론 산업, 의료, 금융 및 기타 산업에서 사용되는 네트워크 장비 및 기타 특수 목적 장비가 영향을 받습니다. 공격자는 이 취약점을 이용해 지속적이고 은밀한 부트킷 또는 악성 부트로더를 설치하여 피해자의 장치에 대한 “거의 완전한 제어”를 얻을 수 있습니다.

연구원들에 따르면 실제 부트홀 취약점은 GRUB2 구성 파일(grub.cfg) 내부에 위치하며, 이 외부 파일은 일반적으로 EFI 시스템 파티션에 위치합니다. 이 취약점은 GRUB2 내에서 임의 코드 실행을 가능하게 하여 운영 체제의 부팅을 제어할 수 있게 합니다. 이를 통해 공격자는 GRUB2 구성 파일의 내용을 수정하여 OS가 로드되기 전에 공격 코드가 실행되도록 할 수 있습니다. 이렇게 하면 공격자는 장치에서 지속성을 얻습니다.

Eclypsium 연구원들은 이러한 유형의 취약점을 악용하려면 대상 장치에서 상승된 권한이 필요하다고 언급했습니다. 그러나 이는 공격자에게 Secure Boot가 활성화되고 모든 로드된 실행 파일에 대한 서명 검증이 제대로 수행되더라도 장치에서 강력한 추가 권한 상승 및 지속성을 제공할 것입니다.

외부 grub.cfg 구성 파일에서 명령을 로드하는 모든 버전의 GRUB2가 취약합니다. 부트홀 취약점이 발견된 이후, Eclypsium은 OS 공급업체, 컴퓨터 제조업체 및 CERT를 포함한 다양한 산업 기관과 책임 있는 공개를 조율했습니다.

“완화 조치에는 새로운 부트로더에 서명하고 배포해야 하며, 취약한 부트로더는 공격자가 이전의 취약한 버전을 사용하지 못하도록 폐기해야 합니다. 이는 아마도 긴 과정이 될 것이며 조직이 패치를 완료하는 데 상당한 시간이 걸릴 것입니다.”라고 Eclypsium은 언급했습니다.

Canonical의 보안 엔지니어링 이사인 Joe McManus는 다음과 같이 말했습니다: “Eclypsium 덕분에 Canonical과 나머지 오픈 소스 커뮤니티는 이 취약점에 대한 방어를 위해 GRUB2를 업데이트했습니다. 이 과정에서 우리는 GRUB2에서 추가로 7개의 취약점을 발견했으며, 이는 오늘 발표된 업데이트에서 수정될 것입니다. 공격 자체는 원격 악용이 아니며 공격자가 루트 권한을 가져야 합니다. 이를 염두에 두고 우리는 이 취약점이 실제로 널리 사용될 것이라고 보지 않습니다. 그러나 이 노력은 오픈 소스 소프트웨어를 매우 안전하게 만드는 커뮤니티 정신을 잘 보여줍니다.”

반면 SUSE 보안 팀의 리더인 Marcus Meissner는 문제가 심각하고 패치가 필요하지만 그렇게 나쁘지 않다고 지적했습니다.

“부트로더에 대한 루트 접근이 필요하다는 점을 고려할 때, 설명된 공격은 대부분의 클라우드 컴퓨팅, 데이터 센터 및 개인 장치 시나리오에 대해 제한적인 관련성을 가진 것으로 보입니다. 단, 이러한 시스템이 이미 다른 알려진 공격에 의해 손상되지 않는 한 그렇습니다. 그러나 이는 신뢰할 수 없는 사용자가 기계에 접근할 수 있을 때 노출을 생성합니다. 예를 들어, 기밀 컴퓨팅 시나리오에서의 악성 행위자나 무인 키오스크 모드에서 운영되는 공공 장소의 컴퓨터에서 그렇습니다.”라고 Meissner는 언급했습니다.