macOS High Sierra *거대한* 보안 취약점 발견 : 클리앙

고객지원

새로운소식

macOS High Sierra 거대한 보안 취약점 발견 67

2017-11-29 05:49:29 수정일 : 2017-11-29 06:27:24 45.♡.77.132

Lemi Orhan Ergin이 트위터로

macOS high sierra에 심각한 취약점을 공개했습니다.

원트윗

Dear @AppleSupport, we noticed a HUGE security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?

트위에 의하면 로긴시 로긴 버튼을 여러번 누른후 root를 사용자에 넣고 빈 패스워드를 넣으면 로긴이 됩니다.

추가: https://9to5mac.com/2017/11/28/how-to-set-root-password/

CHANGING ROOT PASSWORD ON MACOS HIGH SIERRA

Step 1 | Launch System Preferences

Step 2 | Select Users & Groups

Step 3 | Select Login Options

Step 4 | Select Join next to Network Account Server

Step 5 | Select Open Directory Utility

Step 6 | In the menu bar of Directory Utility, select Change Root Password

Step 7 | Create a strong, unique password

9to5mac이 애플 패치전 임시방편을 공개 했습니다.

출처 : https://mobile.twitter.com/lemiorhan/status/935578694541770752

님의

댓글 • [67]

댤콤한만두

이렇게 보안 취약점 재현 방법은 널리 널리 퍼지고 ㅎㅎㅎ

와 이정도면 엄청난 제로데이 루트 접근 취약점인데;; 애플에게 이메일 등으로 알리지 않고 바로 트위터에 공개해버리는건 좀 무책임하다 봐요. 미국에는 학교 등의 공공기관에도 맥을 배치해놓는데 그런것들 뚫리는건데요.
아 물론 애플은 우선 몇대 맞아야겠고요.

삭제 되었습니다.

huni-hit-home

재현 영상입니다: https://twitter.com/saudumm/status/935603234978385921

안 그래도 욕 많이 먹던 하이시에라인데...

유저들에게 거하게 빅 엿을 선사했네요...

이건 너무 간단하면서 파워풀한 보안구멍인데... 믿기지가 않을 정도네요...

huni-hit-home

일단 위험 예방은...
root에 새 비번을 할당하는 거에요...

방법 안내: https://9to5mac.com/2017/11/28/how-to-set-root-password/

이게 빈 패스워드를 가진 root계정을 생성하는 방식으로 작동한다고 합니다. 혹시 맥을 가지거나 재연에 성공하신 분들은 터미널에서
sudo su -
passwd
를 통해 루트 비번을 바꾸시는 것을 추천드립니다.

애플이 패치를 하기 전까지 임시방편으로
위 방법으로 root로 로그인뒤 패스워드를 세팅하면 다시 뚫리지 않는다고 합니다. 공공으로 사용되는 해당 기기가 있으신 분들은 임시로 해두세요.

블루프라그마

정말이지 이건... 하.. 말도 안나오네요.
그냥 담당 직원 짜르라고밖에...

댤콤한만두

블루프라그마님// 애플에 불만 있는 개발자인지 아님 애플 자체에서인지 거의 백도어 수준이네요.

삭제 되었습니다.

april22

이건 정말 역대급 맞네요

삭제 되었습니다.

ilovechitos

헐 진짜 뚫린다...

lee8838

진짜 개판이네요

너무 어이없네요

고맹달

전 안 뚫리는데...
다섯 번을 해도 안 뚫리는데요...

하이시에라 혹은 이전 버전에서 root를 활성화 한 경력이 있는 유저가 OS를 클린인스톨이 아닌 지속적인 업그레이드로 이용해 왔을 경우 문제가 되는 것 같습니다.
저도 위에 비상대처법 보고 해 두려고 보니 루트가 활성이 안 되어 있네요.
테스트 해 보진 않았으나 저도 안 뚫릴 것으로 보입니다.
원문은 구태여 보진 않았으나, 저 취약점이 작동하기 위한 전제조건 같은 것들도 기재되어 있을 것으로 생각되네요.

수정합니다. 재현은 못했는데, 이것저것해보다가 root로 해 보니 뚫리네요.
일단 무조건 루트 비번 별도 설정해야 할 것 같습니다.

이즈의무희

부루트 포스 어택에 아무 보안서를 봐도 나와있는
초보적인 보안조치 미비로 사용자 계정 뻥뻥 뚫리게 만든 이후로 역대급 보안사고네요.

구멍이라는게 너무 초보적이고 치명적이라서 놀랍네요 ㅋㅋㅋ

트위터 가보니까 제로데이 취약점을 애플에 먼저 연락하지 않고 공개해도 되느냐? 제정신이냐? vs 뭔 특별한 로직이 있는것도 아니고 클릭 몇번에 풀리는걸 뭔 제로데이 취약점이라고 애플에 먼저 연락안했다고 난리냐? 로 툭탁툭탁 거리고 있네요. ㅋ

저도 좀 그렇더라고요. 지금 담장 아무 일반인이 맥에 접근해서 다 해킹해버릴 수 있는 이슈라 바로 트위터에 올리는건 조금 무책임하다 봐요.

최태석

두번만에 되네요.

하이시에라 뿐만 아니라 사실 맥 OS 자체가 보안 이슈가 꽤 있었고 대응 패치도 빨리 안 해서 더 문제이기도 하고 그랬지만 이번 이슈는 진짜 너무하네요 ㅋㅋㅋ

삭제 되었습니다.

단지 사용자가 워낙 적어서 주요 타겟이 되지 않는다는 것 때문에 안전하다는 착각을 불러 일으켰을 뿐이죠. 사실 사파리와 퀵타임 보안 이슈와 운영체제 자체 보안 이슈는 상당히 많았죠.

룰루피

공감하네요, 마치 집에서 안나가고 아무것도 안하면서 우리집 보안이 훌륭하다고 말하는 꼴이였죠 ㅋㅋㅋ

sg4520

ㅋㅋㅋㅋㅋㅋㅋ 와 진짜 말도 안되는거라 시도도 안해보던걸

이어버드

진짜 발로 만드나요 ㅋㅋㅋ
웹사이트로따지면 로그인 몇번누르니까 어드민계정 들어가지는거아닌가요

삭제 되었습니다.

adrianking

역사에 길이길이길이길이길이 남을 OS

한국다람쥐이

믿고 거르는 애플의 업데이트....ㅋㅋㅋㅋㅋ
여윾시 보안성이 우수한 애플의 OS입니다.
하이시에라 업데이트하라고 매일 알람 떠도 씹고 안올리길 잘했습니다!

호랑이연고

이번일로 매년 업데이트 정책좀 집어치웠으면 좋겠습니다. 별로 대단하지도 않은 기능 추가하면서 고저스 하지말고 안전성이나 제대로 올리길

@호랑이연고님
'어휴 이제 좀 쓸만해졌네' 싶으면 새버전.....

초마짬뽕

하이시에라 아니면 괜찮을까요?

limi

진짜 대박이네요 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

절세왕애플

보안왕 애플
소프트웨어킹 애플

ㄷㄷㄷ

뭐왜뭐

이런거 잘못 올리면 감히 소리 들으며 조리돌림당하는데
이건 그럴 수도 없을 정도로 미친상황이네여.

지키미

옛날 옛적에 텔넷 로그인 화면에서 통하던 방법이 21세기 애플컴에서 다시 된다니 반갑네요.

memberst

20세기 감성이군요 ㅎㅎㅎㅎㅎㅎㅎㅎ

반달군

하이시에라 정말..... 최근 몇년간 맥오에스 업뎃 중 제일 불만족 스러워요 ㅡㅡ

미쳤네요ㅋㅋㅋㅋ세상에나
강제로 하이시에라 받아놓더니 안올리길 잘했네요
기본도 안돼있는 OS 올려버릴뻔...ㅋㅋㅋㅋ

호비브라운

이정도면 게이트급 되나요?

홍길동길

역대급이네요 ㅋㅋㅋㅋㅋㅋ와 업데이트 하다가 부팅도 안되더니 ㅋㅋㅋㅋㅋㅋ

엔알이일년만

qa 조직 축소했나???

배트맨

문제는 팔린 맥들 중에 이런 취약점 모르고 사용하고 있는 사람들의 맥 수백만대가 단체로 해킹의 위험과 공격머신이 될수 있다는게 문제일거 같네요. 이런 맥들은 업데이트도 잘 안해주는것도 문제이구요

kubectl

업데잇 안하고 버티는 중입니다 ㅋㅋㅋ

BlaCk

ㅎㄷㄷㄷ

musicology

그러게 마진을 좀더 올려서 개발팀을 더뽑았어야죠 CEO가 마진없어서 울상인데... 혜자정책 그만두고 더더 비싸게 팔면되겠네요

WOW!
만약 윈도우에서 이런 일이 터졌다면... ㅎㄷㄷ

xero

이런 이슈들 보면서도 윈도 까내리고 맥OS 찬양하는 사람들을 보면 그저 할 말을 잃어요. 맥OS에 비하면 윈도는 압도적으로 잘 만든 OS.

boy1120

윈도우에서는 이런일이 잘 안 터지죠.

개네들이 수십억대의 PC를 십여년간 호환시키면서 수많은 공격을 막기위해 노력한 짬이 있는데요

하이시에라 진짜 그지같은 버그들 언제 픽스할꺼냐...

삭제 되었습니다.

사용자 및 그룹 뿐만아니라 보안 및 개인정보보호든 뭐든 다뚫리네요..
심지어 pkg설치할때도 root로 집어넣으면 그냥 설치됩니다 ㅜㅜ 이거 너무 큰데요....

onandon

요새 애플 소프트웨어 품질 관리 산으로 가더니 결국 이런 대형 사고 터지는군요 아오ㅋㅋㅋ

kjd2338

좀 충격적인 버그네요 (...)
뿌리까지 아낌없이 퍼주는....

삭제 되었습니다.

지키미

이게 다 노마진 탓이다.

노마 진 모튼슨 (1926-1962)

MilksWaffle

이건 취약점 치고는 구멍이 허벌라게 큰데요;; 게이트 수준이네요.

IKnowNothing

ㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷ

킁킁~!!

헐... 이건 뭐..

정말 레오파드 시절이 그립습니다. 그때는 안정성도 좋고 UI도 좋았는데,
요즘 버전 없은 전혀 변화도 모르겠고, 초반 버그도 너무 심합니다.
아직도 시에라 사용 중인데, 하이 시에라 업글하라고 메일 알림 뜨지만
절대 안 누릅니다. 아내에게도 절대 누르지 말라고 당부 했어요.

삭제 되었습니다.

한국다람쥐이

공개한 사람이 정말 잘 선택한듯. 진성 애플유저인듯요

abelkang

재현 경로대로 하니 재현이 되네요.

high sierra가 약빤 시에라라는 뜻이었나...

IOWait

이런 미친... 진짜 요새 애플 소프트웨어 퀄리티 수준이 말이 아니네요... 팀쿡이 공식사과해야하는거 아닌가요

Labis

여윾시 보안의 Apple이라 할 수 있겠어요

주사위내기

저 클린인스톨 아니고 시에라 -> 하이시에라 업데이트인데 해당됩니다. 루트활성화는 안했던것 같은데... homebrew 설치하면서 활성화된걸까요? 너무 어이없네요 -_-

아마티

이런건 트위터에 공개해버리기 잘했죠... 능력은 안되지만 저라도 아마 그럴겁니다. 뭐 이런 말도 안되는 버그가 있댑니까, 상식을 말 그대로 뒤엎어버리는 보안버그...
이거에 비하면 전세계 모든 컴퓨터에서 돌아갈 수 있는 윈도는 아주아주 잘만든 os입니다... 애플빠들만 우물안에서 쬐금 더 이쁘다고 osx가 최고라고 생각하죠...