20만 명 이상이 사용하는 기업용 이메일 솔루션 짐브아(Zimbra)에서 메일 서버를 원격으로 조종할 수 있는 새로운 보안 취약점이 발견됐다.
소나소스(Sonar Source) 보안 연구원들에 따르면, CVE-2022-30333으로 분류된 이번 취약점은 Rarlab의 UnRAR 유틸리티에서 임의 코드 실행을 통해 짐브아 웹메일 서버를 해킹할 수 있도록 만든다.
• WinRAR: 셰어웨어인 압축 소프트웨어. 유진 로셜이 개발한 RAR 포맷을 마이크로소프트 윈도우에서 사용하기 위해 만들어졌다. RAR 또는 ZIP 파일 등 압축 파일을 만들고 볼 수 있으며, 수많은 압축 파일의 포맷을 풀 수 있다.
• Unrar: RAR 파일의 아카이브를 추출하기 위한 두 가지 명령행 응용프로그램들의 이름
연구원들은 “해커는 사용자가 신뢰할 수 없는 아카이브를 실행할 때 외부에 파일을 생성할 수 있다. 이 파일을 통해 임의 명령을 실행하는 방식으로 해킹을 시도한다”라고 말했다.
보안 전문가들은 해커가 취약점을 악용해 손상된 이메일 서버에서 주고받는 모든 이메일에 접근할 수 있다고 지적했다. 또한 서버를 손상시킨 후 백도어를 설치하고 해킹한 하나의 시스템을 통해 또 다른 시스템을 공격할 수도 있다고 경고했다.
전문가들은 “해커는 다양한 수단을 통해 임의 코드를 실행한다. 해커가 웹 디렉토리에 JSP(자바 서버 페이지) 쉘을 작성하는 경우를 예로 들 수 있다. 하지만 대부분의 짐브라 인스턴스는 서비스가 여러 서버에 분산돼 있어 해킹이 쉽지 않다. 하지만 우리가 모르는 분산 설치를 통한 해킹 방법이 존재할 수 있기에, 웹 서버와 메일 서버가 동일한 시스템에 있지 않더라도 즉시 Unrar를 업그레이드하는 것이 좋다"라고 강조했다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
