구글의 보안 팀 프로젝트 제로가 지난해 11월 원격 화상 회의 서비스 줌에서 발견됐던 두 건의 제로데이 취약점에 대한 상세한 정보를 공개했다. 구글 프로젝트 제로의 나탈리 실바노비치(Natalie Silvanovich) 연구원은 줌 클라이언트와 멀티미디어 라우터(MMR) 서버에서 발견된 이 취약점이 서비스를 중지시키고, 악성코드를 실행하며, 일부 메모리의 정보를 유출시킬 수 있었다고 밝혔다.
발견된 두 건의 취약점은 CVSS(공통 취약점 등급 시스템) 점수 9.8점의 CVE-2021-34423 버퍼 오버플로우와 CVSS 점수 7.5점의 CVE-2021-34424 프로세스 메모리 노출 결함으로 확인됐다.
공격자는 CVE-2021-34423 취약점을 동작시켜 임의의 코드를 삭제하거나 서비스 혹은 애플리케이션을 손상시킬 수 있다. 전문가들은 비디오와 오디오 전송에 사용되는 실시간 전송 프로토콜(Real-Time Transport Protocol, RTP)을 집중 분석했다. 이 과정에서 나탈리 실바노비치는 정상적이지 않은 채팅 메시지를 전송해 다양한 데이터 유형 읽기를 지원하는 버퍼의 내용을 조작하면 클라이언트와 MMR 서버가 충돌하는 결함을 유발할 수 있다는 사실을 발견했다.
프로젝트 제로에 따르면 줌 클라이언트의 문자열 버퍼는 msg_db_t 버퍼가 읽는 문구의 길이를 바탕으로 할당되는데, 공격자가 msg_db_t 버퍼의 내용을 조작하면 할당된 버퍼의 길이를 최대치로 늘려 덮어쓸 수 있다. 실제로 연구원이 이 버그를 테스트하기 위해 Frida로 SSL_write를 후킹해 올바르지 않은 패킷을 전송한 결과 다양한 플랫폼에 줌 클라이언트가 다운됐다고 한다.
또 다른 취약점 CVE-2021-34424는 공격자가 제품 메모리의 임의 영역을 파악할 수 있는 결함을 노출시킨다. 이 문제는 웹브라우저를 통해 줌 회의에 참석할 때 데이터 유출을 허용하는 NULL 검사가 없기 때문에 발생한다. 연구원은 줌 MMR 프로세스에서 ASLR(Address Space Layout Randomization)이 누락되면 사용자가 공격의 위험에 노출된다고 밝혔다. 다행히 줌은 최근 ASLR을 적용했다고 한다.
프로젝트 제로 전문가들은 줌이 다른 대부분의 화상 회의 시스템과 달리 독자적인 프로토콜을 사용해 분석을 어렵게 만들고 있다고도 지적했다.
이번 조사와 관련해 나탈리 실바노비치는 “폐쇄적인 소스의 소프트웨어는 고유한 보안 문제를 발생시킨다. 줌은 보안 연구원들과 보안 취약점을 평가하는 사람들을 위해 플랫폼의 접근성을 높여야 한다. 이번에 줌 보안 팀이 내가 서버 소프트웨어에 접근해 설정하는 작업에 도움을 주었지만, 다른 연구자들이 지원을 받을 수 있을지는 확실하지 않다. 더욱이 소프트웨어 라이선스 비용도 여전히 비싸다”고 말했다.
한편, 줌은 CVE-2021-34423와 CVE-2021-34424 문제를 해결한 보안 패치를 지난해 11월 24일부터 배포하고 있다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
