취약점 패치한 구글...하지만 전문가가 살펴보니 공격 여전히 가능...5천 달러 상금 재차 획득
[보안뉴스 문가용 기자] 유명 지도 애플리케이션인 구글 맵스에서 XSS 취약점을 찾아낸 보안 전문가가 총 1만 달러의 상금을 받았다. 원래는 5천 달러의 상금을 받았지만, 구글의 패치가 불완전하다는 것을 재차 발견함으로써 다시 5천 달러를 거머쥐어 총 1만 달러를 차지한 것이다.
[이미지 = utoimage]
이 전문가는 조하르 샤차르(Zohar Shachar)로, 윅스닷컴(Wix.com)의 애플리케이션 보안 관리자다. 샤차르는 지난 4월 23일 구글 맵스에서 취약점을 발견해 구글에 알렸다. 구글은 이를 접수하고 5천 달러의 상금을 전달했다. 구글은 이 취약점과 패치를 6월 7일에 공개했다. 하지만 샤차르는 이 패치가 발표되고 몇 분 지나지 않아 구글 맵스를 여전히 공격할 수 있음을 발견하고 구글에 알렸다. 구글은 다시 한 번 5천 달러의 상금을 그에게 전달했다.
샤차르는 블로그를 통해 “설마 구글이 픽스에 실수를 했겠어, 그냥 점검이나 해보자”라는 마음으로 픽스를 대강 훑어보기 시작했다고 밝혔다. 그러나 대충 10분 정도 봤더니 취약점이 나타났다고 한다. 그러면서 두 번째 취약점의 세부 기술 정보를 함께 공개했다. 첫 번째는 이미 구글이 6월에 공개한 바 있다.
샤차르가 발견한 첫 번째 취약점은 사용자가 자기만의 지도를 만들 수 있도록 해주는 구글 맵스의 기능에서 나타났다고 한다. 사용자들은 자기만의 맵을 만든 후 여러 가지 포맷으로 엑스포트 할 수 있는데 그 중 하나가 키홀 마크업 언어(Keyhole Markup Language, KML)이다. XML과 매우 비슷한 포맷으로, 위치 관련 주석이나 2D 지도 내 시각화를 할 때 사용된다.
그런데 지도가 KML 포맷으로 엑스포트 될 서버에서 돌아오는 응답에 CDATA 태그가 포함되어 있었다. “CDATA 태그가 있다는 건, 문서의 일부가 일반 문자로 구성되어 있다는 걸 뜻합니다. 따라서 코드를 브라우저가 렌더링 할 수 없다는 걸 의미하죠. 그런데 여기에 특수 문자들을 추가하면 CDATA 태그가 쉽게 닫히지 않는다는 걸 알 수 있었습니다. 특히 페이로드 처음에 ]]>를 추가하면 CDATA로부터 벗어나 임의의 XML 콘텐츠를 추가할 수 있습니다. 즉 XSS 공격이 가능하다는 것이죠.”
이에 따르면 공격자는 구글 맵스를 통해 빈 지도를 생성하고, 특수 문자들로 구성된 새 이름을 붙인 후 XSS 페이로드를 추가하면 공격 준비가 완료된다. 그 다음으로는 지도를 ‘전체 공개(public)’로 전환해 누구나 접근할 수 있도록 만들고 KML 포맷으로 엑스포트 한다. 그리고 다운로드 링크를 복사하고, 이를 피해자들에게 보낸다. 피해자가 이 링크를 클릭하면 XSS 공격이 시작된다.
구글은 이 문제를 접수하고 고쳤다. 하지만 패치가 적용되고도 XSS 공격은 여전히 가능했다. 샤차르는 “구글이 문제를 해결하기 위해 한 것은 추가 CDATA 태그를 덧붙인 것”이었다며 “공격자로서는 두 개의 CDATA 완료 태그를 추가하기만 하면 되었다”고 설명했다. 구글은 아직 이 문제에 대한 공식 입장을 발표하지 않고 있는 상황이다.
구글은 최근 지속적으로 버그바운티 프로그램을 확장시켜 왔다. 상금도 계속 증가시켜 현재는 구글 제품 관련 취약점 보고서 하나에 최고 13,337 달러를 지급하고 있다. 작년에는 개발자 데이터 보호 포상 프로그램(Developer Data Protection Reward Program)을 운영하기 시작했다. 이 프로그램을 통해 사람들은 누구나 구글 플레이, 구글 API, 구글 크롬 웹 스토어가 멋대로 활용되고 있는 상황을 포착해 보고함으로써 최고 5만 달러의 상금을 받을 수 있다.
또한 구글은 작년 크롬의 버그바운티 프로그램의 최고 상금도 5천 달러에서 1만 5천 달러로 올렸고, 특별히 수준이 높은 보고서의 경우 3만 달러로까지 상금이 올라갈 수 있다고 공지했었다.
3줄 요약
1. 한 보안 전문가, 구글 맵스에서 XSS 공격 가능케 해주는 취약점 발견.
2. 구글이 이를 접수하고 패치하고, 전문가에게 5천 달러를 상금으로 줌.
3. 그런데 패치를 하고도 공격 가능. 전문가가 다시 알렸더니 다시 5천 달러 상금이 나옴.
[국제부 문가용 기자(globoan@boannews.com)]
저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
September 09, 2020 at 12:40PM
https://ift.tt/2GJEZc0
보안뉴스 - 보안뉴스
https://ift.tt/2UOrzjh
No comments:
Post a Comment