Apple과 Google이 자사 제품에서 활발하게 악용되고 있는 심각한 제로데이 취약점을 보고한 최근 공개에 포함된 불완전한 정보로 인해 다른 개발자가 제공하는 수많은 제품이 패치되지 않는 원인이 되는 “거대한 맹점”이 발생했다고 연구원들이 목요일 밝혔습니다.
2주 전, Apple은 위협 행위자들이 Pegasus로 알려진 스파이 스파이웨어를 설치하기 위해 iOS의 치명적인 취약점을 적극적으로 악용하고 있다고 보고했습니다. 공격은 제로 클릭 방식을 사용했습니다. 즉, 대상 측의 상호 작용이 필요하지 않았습니다. iPhone에서 전화나 문자를 받는 것만으로도 세계에서 가장 발전된 악성 코드 중 하나인 Pegasus에 감염될 수 있었습니다.
“거대한 사각지대”
Apple은 CVE-2023-41064로 추적되는 이 취약점은 애플리케이션이 WebP를 포함하여 대부분의 이미지 파일 형식을 읽고 쓸 수 있도록 하는 독점 프레임워크인 ImageIO의 버퍼 오버플로 버그에서 비롯되었다고 밝혔습니다. Apple은 반체제 인사와 기타 위험에 처한 집단을 표적으로 삼는 국가의 공격을 추적하는 토론토 대학교 Munk School의 연구 그룹인 Citizen Lab이 제로데이를 발견한 것으로 평가했습니다.
4일 후 Google은 Chrome 브라우저의 심각한 취약점을 보고했습니다. 회사는 이 취약점이 WebP에 존재하는 힙 버퍼 오버플로로 알려진 것이라고 밝혔습니다. 구글은 계속해서 이 취약점에 대한 악용 사례가 실제로 존재한다고 경고했습니다. Google은 CVE-2023-4863으로 지정된 이 취약점이 Apple 보안 엔지니어링 및 아키텍처 팀과 Citizen Lab에서 보고되었다고 밝혔습니다.
저를 포함한 추측은 많은 수의 유사점이 두 취약점의 기본 버그가 동일하다는 것을 강하게 암시한다는 추측이 빠르게 나타났습니다. 목요일에 보안 회사인 Rezillion의 연구원들은 둘 다 실제로 동일한 버그, 특히 앱, 운영 체제 및 기타 코드 라이브러리가 WebP 이미지를 처리하기 위해 통합하는 코드 라이브러리인 libwebp에서 유래했을 가능성이 높다는 증거를 발표했습니다.
연구원들은 Apple, Google, Citizen Lab이 취약점의 공통 출처를 조정하고 정확하게 보고하는 대신 별도의 CVE 지정을 사용하기로 결정했다고 밝혔습니다. 연구원들은 libwebp 수정 사항을 통합할 때까지 “수백만 개의 서로 다른 응용 프로그램”이 취약한 상태로 남아 있을 것이라고 결론지었습니다. 결과적으로 개발자가 제품의 알려진 취약점을 추적하는 데 사용하는 자동화된 시스템이 활발하게 악용되고 있는 중요한 취약점을 감지하지 못하게 된다고 그들은 말했습니다.
Rezillion 연구원인 Ofri Ouzan과 Yotam Perkal은 “취약점은 취약한 종속성을 포함하는 중요한 제품 아래에 범위가 지정되므로 이러한 특정 제품에 대한 취약성 스캐너에 의해서만 취약성이 표시됩니다.”라고 썼습니다. “이것은 취약점 스캐너의 결과에 맹목적으로 의존하는 조직에 거대한 맹점을 만듭니다.”
Google은 CVE-2023-4863의 범위를 libwebp가 아닌 Chrome으로 제한했다는 이유로 더욱 비판을 받았습니다. 또한 공식 설명에서는 이 취약점을 Google Chrome의 WebP에 있는 힙 버퍼 오버플로로 설명합니다.
이메일에서 Google 담당자는 다음과 같이 썼습니다. “많은 플랫폼이 WebP를 다르게 구현합니다. 버그가 다른 제품에 어떤 영향을 미치는지에 대한 세부 정보는 없습니다. 우리의 초점은 Chromium 커뮤니티에 문제를 해결하고 가능한 한 빨리 Chromium 사용자에게 영향을 미치는 것이었습니다. 소프트웨어 제품이 보안 수정 및 개선 사항을 선택하기 위해 의존하는 업스트림 라이브러리를 추적하는 것이 모범 사례입니다.”
담당자는 WebP 이미지 형식이 공개 및 공식 CVE 페이지에 언급되어 있다고 언급했습니다. 담당자는 공식 CVE와 Google의 공개에서 널리 사용되는 libwebp 라이브러리를 언급하지 않은 이유나 다른 소프트웨어도 취약할 가능성이 높다는 점을 설명하지 않았습니다.
Google 담당자는 CVE-2023-4863과 CVE-2023-41064가 동일한 취약점에서 유래했는지 묻는 질문에 답변하지 않았습니다. Citizen Lab과 Apple은 이 이야기가 게시되기 전에 이메일로 받은 질문에 응답하지 않았습니다.