리브레오피스가 임의 코드 실행 등 자사 소프트웨어 제품군의 보안 취약점 세 가지를 해결했다.
리브레오피스는 도큐먼트 파운데이션(TDF, The Document Foundation)의 프로젝트 중 하나로, 오픈 소스 사무 생산성 소프트웨어 제품군이다.
이번에 리브레오피스에서 발견된 CVE-2022-26305로 추적되는 세 가지 보안 취약점은 부적절한 인증서 유효성 검사를 통해 신뢰할 수 없는 매크로를 실행하게 만드는 것으로 알려진다.
리브레오피스 오픈 오피스의 보안 취약점
리브레오피스는 매크로가 신뢰할 수 있는 파일 위치에 저장돼 있거나, 사용자의 구성 데이터베이스에 저장된 인증서 목록에 포함된 인증서로 서명된 경우에만 실행한다.
하지만 이번 취약점으로 인해 해커는 불법적인 인증서 유효성 검사를 통해, 불법 인증서의 일련 번호 및 발급자 문자열을 신뢰할 수 있는 인증서의 발급자 문자열과 일치시킬 수 있었다. 이로 인해 사용자는 악성 매크로에 포함된 임의 코드를 실행하게 된다.
다만 매크로 보안 수준이 매우 높게 설정돼 있거나 사용자에게 신뢰할 수 있는 인증서가 없는 경우에는 이 취약점을 악용할 수 없다.
이처럼 이번 취약점(CVE-2022-26307)은 무차별 대입 공격을 통해 공격자가 추측할 수 있는 약한 마스터 키의 사용과 관련이 있다.
리브레오피스는 사용자의 구성 데이터베이스에 웹 연결을 위한 암호 저장을 지원해 왔다. 저장된 비밀번호는 사용자가 제공한 단일 마스터키로 암호화된다. 여기서 암호화에 필요한 초기화 벡터는 항상 동일해 암호화는 시간이 갈수록 약화돼 왔다. 이로 인해 해커가 사용자의 구성 데이터에 접근했을 때 취약점이 생긴 것이다.
한편, 이번 취약점은 OpenSource Security GmbH에 의해 발견됐으며, 버전 7.2.7, 7.3.2, 7.3.3 릴리스로 수정됐다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
