Zoom 앱, 카메라 임의로 켜는 취약점

Mac 버전에 해당

Zoom은 클라우드에 기반한 화상회의 플랫폼으로, 스크린 공유를 통하여 웹 세미나, 인터넷 강의, 친목 모임 등에 활용된다. 줌의 맥용 버전에서 웹캠을 임의로 활성화하고, 원격코드 실행에도 악용될 수 있는 취약점이 발견됐다.

CVE-2019-13450은 해커가 카메라를 임의로 활성화시킬 수 있는 취약점이다. 줌에는 링크를 보내 다른 참가자를 초대하고, 그가 링크를 클릭하면 바로 화상회의에 참여할 수 있는 click-to-join 기능이 있다. 이 기능은 비디오 설정에서 'participants' 옵션을 켜면 활성화된다.

이렇게 설정된 피해자에게 해커가 초대 링크를 보내 클릭하도록 유도하면, 자동으로 웹캠을 켜고 엿볼 수 있다. 더 위험한 점은, 초대 링크를 image tag나 iframe에 숨겨 웹 페이지에 삽입하면, 이 페이지를 보는 것만으로도 악용이 가능하다는 것이다. 다만 Zoom 측의 해명에 따르면, 이때 줌 앱이 화면 전면에서 실행되기 때문에, 피해자가 눈치채고 앱을 종료할 수 있다.

CVE-2019-13567은 원격코드 실행 취약점이다. 이것은 Zoom 앱이 설치됐다가 삭제되어, 시스템에 Zoom client는 없지만 ZoomOpener는 남아있는 경우에 생긴다. 해커는 특별하게 조작된 웹 페이지를 열어보도록 유도하여, 피해자의 기기에서 임의의 코드를 실행할 수 있다. 별다른 징후가 없고, 기기의 완전 장악으로 이어질 수 있어, 13450보다 더 큰 위험이다.

서버로 작동

이 두 취약점은 모두 ZoomOpener daemon이라는 숨겨진 웹 서버에 있다. Zoom은 click-to-join 기능을 위해 19421 포트를 열고 서버로 작동한다. 그런데 이것이 비보안으로 http를 통해 명령을 수신하는 것이 문제다. 결국 아무 웹 사이트나 명령을 내릴 수 있는 것이다.

게다가 Zoom 앱을 삭제해도 ZoomOpener는 삭제되지 않는다. 오히려 CVE-2019-13567이라는 더 큰 위험을 초래한다. 때문에 줌 앱을 삭제하는 것으로는 문제를 해결할 수 없다.

개발사는 이 취약점을 해결한 패치를 내놨으므로 최신 버전으로 업데이트해야 한다. 최신 버전에선 ZoomOpener를 삭제했다. 애플도 Apple Malware Removal Tool에서 줌오프너를 악성코드로 진단하고 삭제하도록 조치했다.

RingCentral, Zhumu도 취약

Zoom은 다른 소프트웨어 회사에도 공급되어 각각의 브랜드로 팔리고 있다. 이런 rebranded 버전 역시 동일한 취약점을 갖고 있는 것으로 밝혀졌다. 따라서 이들 사용자들은 최신 버전으로 업데이트해야 한다.

대표적인 것은 RingCentral과 Zhumu인데, RingCentral은 업데이트를 내놨지만 Zhumu는 아직 아니다. 이 외에도 리브랜디드 버전으로는 Telus Meetings, BT Cloud Phone Meetings, Office Suite HD Meeting, AT&T Video Meetings, BizConf, Huihui, Umeeting, Zoom CN 등이 있다.

애플의 Malware Removal Tool은 이들에 의해 설치된 hidden server module도 모두 삭제한다.


참고 자료
  1. Zoom Video Conferencing for macOS Also Vulnerable to Critical RCE Flaw
  2. Flaw in Zoom Video Conferencing Software Lets Websites Hijack Mac Webcams
  3. Zoom RCE Flaw Also Affects Its Rebranded Versions RingCentral and Zhumu

    댓글

    이 블로그의 인기 게시물

    엑셀 필터 상태에서 복사와 잘라내기

    가정에서도 망 분리를 해보자

    잉크젯 프린터 전원은 항상 켜 놓아야 좋다