구글, 미수정 크롬 결함 세부 정보 실수로 공개

Source: Bleeping Computer

Google은 브라우저를 닫아도 백그라운드에서 JavaScript가 계속 실행되어 원격 코드 실행이 가능한 Chromium의 미수정 문제에 대한 상세 정보를 실수로 유출했습니다.

이 결함은 보안 연구원 Lyra Rebane이 보고했으며, Chromium Issue Tracker의 스레드에 따르면 2022년 12월에 유효한 문제로 인정되었습니다.

공격자는 Service Worker(예: 다운로드 작업)를 포함한 악성 웹페이지를 만들어 종료되지 않게 할 수 있습니다. Rebane은 이를 통해 방문자의 장치에서 JavaScript 코드를 실행할 수 있다고 말했습니다.

“‘봇넷’이라도 만들면 수만 건의 페이지 조회수를 얻는 것이 현실이며, 사람들은 자신의 장치에서 JavaScript가 원격으로 실행될 수 있다는 사실을 알지 못합니다,”라고 Rebane은 원본 버그 보고서에서 말했습니다.

잠재적인 악용 시나리오로는 감염된 브라우저를 이용한 분산 서비스 거부(DDoS) 공격, 악성 트래픽 프록시, 그리고 임의로 트래픽을 목표 사이트로 리다이렉트하는 행위 등이 있습니다.

이 문제는 Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi, Arc 등 Chromium 기반 브라우저 전반에 영향을 미칩니다.

Persistent bug

2024년 10월 26일, Google 개발자가 해당 문제가 아직 열려 있음을 발견하고 “진전 상황을 확인하기 위해 상태 업데이트가 필요한 ‘심각한 취약점’”이라고 설명했습니다.

2024년 2월, 이 문제는 고정된 것으로 표시되었다가 몇 분 뒤 여러 우려 사항 때문에 다시 열렸습니다. 보안 문제였기 때문에 버그 라벨이 Chrome Vulnerability Rewards Program(VRP) 패널을 거치도록 업데이트되었으며, 2월 12일에 패치가 배포되지 않았음에도 불구하고 시스템 상에서는 고정된 것으로 표시되었습니다. 자동 이메일을 통해 Rebane에게 $1,000의 버그 현상금이 지급되었다고 통보되었습니다.

버그가 14주 이상 닫힌 상태였고 시스템 상에서 고정된 것으로 표시되었기 때문에, 5월 20일에 Chromium Issue Tracker의 모든 접근 제한이 해제되었습니다.

같은 날, Rebane은 수정을 테스트했지만 Chrome Dev 150과 Edge 148에서 여전히 문제가 존재함을 발견했습니다.

“2022년에 나는 사용자와의 상호작용 없이 어떤 Chromium 기반 브라우저든 영구적인 JS 봇넷 멤버로 만들 수 있는 버그를 찾았다,”고 연구자는 어제 게시물에서 말했습니다.
“Edge에서는 이상함을 전혀 느끼지 못하고, 브라우저를 닫은 뒤에도 C2와 연결된 상태가 유지된다.”

이 exploit이 여전히 작동한다는 것을 확인한 뒤, 연구자는 Google이 실수로 상세 정보를 공개했을 가능성을 깨달았습니다. 상황을 더욱 악화시킨 것은, 이전에 exploit을 트리거하면 나타났던 다운로드 팝업이 최신 Edge에서는 더 이상 표시되지 않아, exploit이 더욱 은밀해졌다는 점입니다.

“오노, 이게 아직 제대로 고정되지 않았고 여전히 작동한다는 걸 방금 깨달았어요,”라고 Rebane이 Mastodon에 올렸습니다.
“더 심각한 건, Edge에서는 다운로드 메뉴가 전혀 뜨지 않아서 브라우저를 닫아도 계속 실행되는 완전 무음 JS RCE가 된다는 겁니다!! 단 한 번의 웹사이트 방문만으로!!”

문제가 다시 비공개 처리되었지만, 노출된 기간이 충분히 길어 정보가 유출되었습니다.

Rebane은 Ars Technica와의 인터뷰에서 Google의 노출이 악용을 “꽤 쉽게” 만들겠지만, 대규모 봇넷으로 확장하는 것은 더 복잡하다고 설명했습니다. 또한 이 버그가 브라우저 보안 경계를 우회하지 않으며, 공격자에게 피해자의 이메일, 파일, 혹은 호스트 OS에 대한 접근 권한을 부여하지 않는다고 명확히 했습니다.

문제 상세 정보가 유출된 만큼, 다수 사용자에게 위험이 크게 증가했으며 Google은 이를 긴급 사안으로 간주하고 조만간 긴급 패치를 배포할 가능성이 높습니다.

BleepingComputer은 이번 노출에 대해 Google에 의견을 요청했지만, 기사 발표 시점까지 회신을 받지 못했습니다.