\"VM에서 호스트로 침입 가능\"··· 젠 하이퍼바이저 긴급 보안 패치
메이저 놀이터 순위트SW 포털
게시글 작성 시각 2017-04-07 07:34:07
2017년 4월 6일 (목)
ⓒ CIO Korea, Lucian Constantin | IDG News Service
널리 사용되는 가상화 솔루션 '젠 하이퍼바이저(Xen hypervisor)'에 치명적인 보안취약점이 발견됐다. 이를 해커가 악용하면 가상머신 내에서 실행되는 게스트 운영체제에 벗어나 호스트 시스템의 전제 메모리에 접근할 수 있다.
이 취약점은 하이퍼바이저 보안 시스템에 대한 매우 심각한 침해이다. 가상화된 개별 사용자의 서버가 같은 하드웨어를 공유하는 멀티 테넌트 데이터센터에 대한 중대한 위협이기도 하다. 오픈소스 젠 하이퍼바이저는 클라우드 컴퓨팅 제공업체나 가상 프라이빗 서버 호스팅 업체 등이 주로 사용한다. 보안을 강화한 특화 운영체제인 쿠베스 OS(Qubes OS)도 이를 사용한다.
이 보안취약점에 영향을 받는 버전은 젠 4.8.x, 4.7.x, 4.6.x, 4.5.x, 4.4.x 등이다. 지난 4년간 나온 젠 코드에 모두 포함돼 있다. 젠 프로젝트는 4일 이 보안취약점을 해결하는 패치를 발표했다. 사용자가 수동으로 설치할 수 있다.
다행인 것은 이 보안취약점이 오직 64비트 반가상화 게스트 운영 시스템에서만 동작한다는 것이다. 젠은 2가지 형태의 가상머신을 지원한다. 하드웨어 지원 가상화를 이용하는 HVM(Hardware Virtual Machines)과 소프트웨어 기반 가상화를 이용하는 반가상화(paravirtualized, PV) 가상머신이다. 따라서 PV 가상머신을 사용하는지에 따라 이번 보안취약점의 영향을 받을 수도, 받지 않을 수도 있다.
예를 들어 AWS는 자사 고객의 데이터와 인스턴스는 이번 보안취약점의 영향을 받지 않으며 고객이 직접 해야 할 작업도 전혀 없다고 밝혔다. 반면 가상 프라이빗 서버 업체인 리노드(Linode)는 이 패치를 적용하기 위해서는 일부 레거시 젠 서버를 재부팅해야 한다고 밝혔다.
쿠베스 OS는 가상머신 내에서 애플리케이션을 격리하는 데 젠을 사용한다. 쿠베스 개발팀은 브라우저 등 다른 보안취약점을 이용해 침입한 해커가 이 보안취약점을 악용해 쿠베스 시스템을 해킹할 가능성이 있다고 경고했다. 쿠베스 개발팀은 이번 보안취약점을 패치한 쿠베스 3.1과 3.2용 젠 패키지를 내놓았다. 또한 곧 발표되는 쿠베스 4.0에서 반가상화 기능을 사용하지 않기로 했다.
가상머신의 격리 레이어를 파괴하는 보안취약점은 상업적인 가치도 꽤 크다. 최근 Pwn2Own 해킹대회에서는 VM웨어 워크스테이션과 마이크로소프트 하이퍼-V에서 가상머신을 벗어나 호스트 운영체제에 침입하는 미션에 상금 10만 달러가 걸렸다. 보안업체 제로디엄(Zerodium)은 이런 보안취약점을 발견한 개발자에게 1건당 최대 5만 달러를 지급한다.
이 취약점은 하이퍼바이저 보안 시스템에 대한 매우 심각한 침해이다. 가상화된 개별 사용자의 서버가 같은 하드웨어를 공유하는 멀티 테넌트 데이터센터에 대한 중대한 위협이기도 하다. 오픈소스 젠 하이퍼바이저는 클라우드 컴퓨팅 제공업체나 가상 프라이빗 서버 호스팅 업체 등이 주로 사용한다. 보안을 강화한 특화 운영체제인 쿠베스 OS(Qubes OS)도 이를 사용한다.
이 보안취약점에 영향을 받는 버전은 젠 4.8.x, 4.7.x, 4.6.x, 4.5.x, 4.4.x 등이다. 지난 4년간 나온 젠 코드에 모두 포함돼 있다. 젠 프로젝트는 4일 이 보안취약점을 해결하는 패치를 발표했다. 사용자가 수동으로 설치할 수 있다.
다행인 것은 이 보안취약점이 오직 64비트 반가상화 게스트 운영 시스템에서만 동작한다는 것이다. 젠은 2가지 형태의 가상머신을 지원한다. 하드웨어 지원 가상화를 이용하는 HVM(Hardware Virtual Machines)과 소프트웨어 기반 가상화를 이용하는 반가상화(paravirtualized, PV) 가상머신이다. 따라서 PV 가상머신을 사용하는지에 따라 이번 보안취약점의 영향을 받을 수도, 받지 않을 수도 있다.
예를 들어 AWS는 자사 고객의 데이터와 인스턴스는 이번 보안취약점의 영향을 받지 않으며 고객이 직접 해야 할 작업도 전혀 없다고 밝혔다. 반면 가상 프라이빗 서버 업체인 리노드(Linode)는 이 패치를 적용하기 위해서는 일부 레거시 젠 서버를 재부팅해야 한다고 밝혔다.
쿠베스 OS는 가상머신 내에서 애플리케이션을 격리하는 데 젠을 사용한다. 쿠베스 개발팀은 브라우저 등 다른 보안취약점을 이용해 침입한 해커가 이 보안취약점을 악용해 쿠베스 시스템을 해킹할 가능성이 있다고 경고했다. 쿠베스 개발팀은 이번 보안취약점을 패치한 쿠베스 3.1과 3.2용 젠 패키지를 내놓았다. 또한 곧 발표되는 쿠베스 4.0에서 반가상화 기능을 사용하지 않기로 했다.
가상머신의 격리 레이어를 파괴하는 보안취약점은 상업적인 가치도 꽤 크다. 최근 Pwn2Own 해킹대회에서는 VM웨어 워크스테이션과 마이크로소프트 하이퍼-V에서 가상머신을 벗어나 호스트 운영체제에 침입하는 미션에 상금 10만 달러가 걸렸다. 보안업체 제로디엄(Zerodium)은 이런 보안취약점을 발견한 개발자에게 1건당 최대 5만 달러를 지급한다.
※ 본 내용은 한국IDG(주)(http://www.itworld.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒITWORLD. 무단전재 및 재배포 금지
[원문출처 : http://www.ciokorea.com/news/33745]
| 번호 | 제목 | 조회수 | 작성 |
|---|---|---|---|
| 1177 | "VM에서 호스트로 침입 가능"··· 젠 하이퍼바이저 긴급 보안 패치 | 5055 | 2017-04-07 |
| 1176 | 오는 6월 클라우드 파운드리 개발자 인증 출시된다 | 4688 | 2017-04-07 |
| 1175 | [주간 OSS 동향 리포트] 구글 오픈소스 프로젝트를 한 곳에 | 4612 | 2017-04-05 |
| 1174 | 칼럼 | 어떤 기술을 바라보고 달려가야 하는가 | 4316 | 2017-04-04 |
| 1173 | 기고 | AI, 머신러닝에 대한 마이크로소프트의 분류법과 구상안 | 4436 | 2017-04-04 |
| 1172 | 프로그래머들이 스스로에게 하는 9가지 거짓말 | 4728 | 2017-04-04 |
| 1171 | “민간 IT의 예고편” 정부와 공공부문의 2017년 IT 트렌드 진단 | 4681 | 2017-03-31 |
| 1170 | 마이크로소프트-연세의료원, 한국형 인공지능 개발 위한 기술협약 체결 | 4306 | 2017-03-31 |
| 1169 | 레드햇-IBM, 오픈스택 통해 기업의 하이브리드 클라우드 도입 가속화 지원 | 4167 | 2017-03-31 |
| 1168 | 버그의 가치는 얼마인가 | 4146 | 2017-03-31 |
0개 댓글