ArubaOS 보안 취약점, 증거 있어도 '이론상 위협'으로 종결 처리
네트워크 장비 제조사 Aruba의 운영체제에서 로그인 없이도 내부 시스템을 들여다볼 수 있는 취약점이 발견됐습니다. 연구자가 실제 동작 증거를 제출했지만 제조사는 '재현 불가'라며 신고를 닫아버렸고, 연구자가 커뮤니티에 공개해 검토를 요청했습니다.
ArubaOS는 기업·학교 네트워크에서 많이 쓰이는 Wi-Fi 컨트롤러 소프트웨어입니다. 이번에 발견된 취약점은 두 가지가 연결된 형태입니다. 첫째 XXE는 악성 XML 파일을 보내 장비 내부 파일을 읽게 만드는 공격이고, 둘째 SSRF는 그 장비가 공격자 대신 내부 네트워크 주소로 요청을 보내게 만드는 공격입니다. 로그인 없이 이 두 가지를 연속으로 사용할 수 있다면 외부 공격자가 방화벽 안쪽 서버를 탐색할 수 있게 됩니다.
연구자는 네트워크 패킷 캡처(pcap), SSH 데몬 로그, 내부 포트 스캔 결과 등 세 가지 실증 자료를 제출했습니다. 그럼에도 Aruba는 '유효한 개념 증명 코드가 없다'는 이유로 신고를 종결했습니다. 연구자는 이에 반발해 커뮤니티에 자료를 공개하고 독립 검토를 요청했습니다. 같은 장비를 사용하는 조직은 펌웨어 업데이트 여부와 외부 노출 범위를 점검해볼 필요가 있습니다.
핵심 포인트
용어 한 줄 설명
- 네트워크
- 컴퓨터들이 서로 정보를 주고받을 수 있게 연결된 상태입니다.
- 취약점
- 공격자가 시스템을 잘못 쓰게 만들 수 있는 보안 약점입니다.
- Wi-Fi
- 무선 인터넷 신호로, 같은 공유기에 연결된 기기끼리 데이터를 주고받을 수 있습니다.
- 소프트웨어
- 컴퓨터나 스마트 장치에서 작업을 수행하는 프로그램입니다.
- XXE
- 악성 XML 데이터를 이용해 서버 내부 파일을 강제로 읽게 만드는 공격 방식입니다.
- SSRF
- 서버가 공격자 대신 내부 네트워크 주소로 요청을 보내도록 유도하는 공격입니다.
- pcap
- 네트워크를 오가는 패킷(데이터 묶음)을 캡처해 저장한 파일로, 공격 증거로 활용됩니다.
- SSH
- 인터넷을 통해 다른 컴퓨터에 원격으로 안전하게 접속하는 방법입니다.