CVE-2023-4863: 래빗홀의 깊이는 얼마나 될까요?
취약점: libwebp의 힙 버퍼 오버플로
CVE ID: CVE-2023-4863
CVSS 점수: 8.8점(여기에 병합된 다른 CVE의 점수는 10.0점임). 8.8점이라는 점수는 범위와 위험성을 고려할 때 업데이트될 가능성이 높습니다.)
TuxCare의 수명 주기 연장 지원 상태는 다음에서 확인할 수 있습니다. TuxCare의 CVE 트래커에서 확인할 수 있습니다..
원인
이 취약점은 libwebp가 허프만 인코딩 테이블을 탐색하는 방식에서 비롯됩니다. 허프만 인코딩 테이블은 이미지가 파일에 저장되는 방법을 프로그램에 알려주는 '사전'입니다. 허프만 테이블의 개념은 이미지뿐만 아니라 웹프 형식뿐만 아니라 다양한 유형의 데이터 인코딩에 사용되며, 이미지 데이터의 요소가 매우 일반적인 경우 저장할 때 더 적은 비트를 사용하고 덜 일반적인 요소는 더 긴 비트 시퀀스를 사용하도록 만드는 방법입니다. 따라서 전체적으로 파일 크기가 작아집니다. 이 정보는 각 webp 파일 내에 저장됩니다.
특수하게 조작된 이미지는 공격자가 제어하는 콘텐츠로 범위를 벗어난 버퍼 쓰기를 유도할 수 있습니다. 이는 제로 클릭 공격으로, 원격 공격자가 사용자의 개입 없이도 시스템을 장악할 수 있는 잠재적인 공격입니다. 처음에는 구글 크롬의 딜레마로 인식되었지만, 이 버그가 libwebp에 존재한다는 사실이 밝혀지면서 내부적으로 libwebp를 사용하는 모든 애플리케이션이 웹페이지 이미지를 로드할 수 있는 취약점에 잠재적으로 영향을 받을 수 있다는 사실이 밝혀졌습니다. 여기에는 Firefox, Thunderbird, FFMpeg, 소셜 플랫폼 메신저, IOS 및 Android 기기가 포함되지만 이에 국한되지 않습니다.
관련성
CISA는 이 취약점이 현재 야생에서 악용되고 있는 것으로 파악하고 있습니다. 이는 해당 취약점의 익스플로잇과 직접적으로 연결된 사이버 보안 사고의 명백한 증거가 있다는 것을 의미합니다. 이 취약점의 높은 인지도와 영향을 받는 타사 소프트웨어의 엄청난 양, 그리고 공개된 연구 결과를 고려할 때, 관심 있는 당사자는 익스플로잇 코드에 쉽게 접근할 수 있습니다.
최근 페가수스 스파이웨어와 관련된 사건은 이 취약점이 단순한 가상의 위협이 아니라 글로벌 사이버 보안에 영향을 미치는 실질적인 위험이라는 것을 보여주었습니다.
CVE-2023-4863의 광범위한 영향 분석
새로운 취약점을 발견하는 것은 미지의 세계로 떠나는 스릴 넘치면서도 위험한 모험과 비슷합니다. CVE-2023-4863도 예외는 아닙니다. 이 취약점은 libwebp가 허프만 인코딩 테이블을 처리하는 방식과 관련된 것으로, 수많은 애플리케이션과 플랫폼에서 잠재적인 보안 침해가 연쇄적으로 발생하고 있습니다. 이 문제는 단일 애플리케이션이나 운영 체제에 국한된 것이 아니기 때문에 방대한 디지털 오션에서 강력한 위협이 될 수 있습니다.
이 취약점은 악명 높은 페가수스 스파이웨어와 관련된 글로벌 사이버 보안 위기 속에서 발견되었습니다. 2023년 9월 12일, 활발하게 악용되는 취약점을 해결하기 위해 두 가지 Apple 문제와 한 가지 Chrome 업데이트에 대한 긴급 패치가 릴리스되었습니다. 워싱턴 DC에 기반을 둔 기관에서 개인의 디바이스를 조사하던 중 CitizenLab이 발견한 두 가지 취약점(CVE-2023-4863 및 IOS 전용 CVE-2023-41064)는 libwebp의 힙 버퍼 오버플로를 기반으로 하는 것으로 밝혀졌습니다.
이 문제는 일반적으로 VP8L로 알려진 WebP에 대한 "무손실 압축" 지원에서 비롯된 것으로 밝혀졌습니다. 또한 이 취약점을 익스플로잇하는 방법을 이해하는 것도 매우 어려웠습니다. 이미지에 존재할 수 있는 콘텐츠의 조합이 매우 많고, 이 동작을 유발할 수 있는 동일한 이미지의 매우 작고 특정한 하위 집합을 식별하기가 매우 어려웠으며, 실제로 이러한 엣지 케이스가 존재하지 않는다고 보장하는 것은 거의 불가능합니다. 이는 평범한 보안 연구원이 우연히 발견한 것이 아니라 이러한 취약점을 찾기 위해 상당한 노력을 기울였다는 것을 암시하지만 확인되지는 않았습니다.
이러한 유형의 취약점에 대해서는 상당한 금전적 보상이 주어집니다. 예를 들어, 최근 iOS에 대한 완전한 기능을 갖춘 제로 클릭 익스플로잇에 대해 2천만 달러라는 엄청난 금액이 제시된 적이 있습니다. 이는 애초에 이러한 문제를 찾는 데 투입된 노력을 정당화하는 것으로 보입니다.
CVE-2023-4863의 중요성은 아무리 강조해도 지나치지 않습니다. 구글과 애플은 이 취약점을 패치하기 위한 업데이트를 배포했지만, 그 외 많은 애플리케이션에서 libwebp가 사용되고 있습니다. 특히 안드로이드 업데이트는 안드로이드 생태계에 존재하는 패치 갭으로 인해 모든 제조사 및 모델에 적용되기까지 상당한 시간이 걸릴 수 있습니다.
NSO 그룹에서 판매하는 페가수스 스파이웨어는 교활하고 널리 퍼져 있는 것으로 악명이 높습니다. 이 스파이웨어는 수많은 감시 캠페인에서 중요한 역할을 해왔습니다. 이메일, 문자 메시지, 사진, 비디오, 위치, 비밀번호, 소셜 미디어 활동을 동의나 가시성 없이 훔치는 이 스파이웨어는 수년 동안 존재해 왔으며, 그 존재를 간과해서는 안 됩니다. 이 공격은 이와 같은 고도로 발전된 취약점을 이용해 의심하지 않는 공격 대상의 장비와 시스템에 배포됩니다. libwebp의 존재가 모바일 디바이스에만 국한되지 않는다는 사실은 공격 표면을 (훨씬) 더 넓게 만들 뿐입니다.
악성 이미지가 포함된 웹사이트를 방문하거나 인스턴트 메시징을 통해 이미지를 수신하거나 문제가 해결되지 않은 이미지 뷰어에서 해당 콘텐츠를 여는 것만으로도 공격자는 페이로드를 배포할 수 있습니다. 이 페이로드는 필연적으로 다른 유형의 멀웨어에 사용될 것입니다.
이 특정 취약점과 그 영향에 대한 심층적인 논의는 다음 팟캐스트에서 확인할 수 있습니다. 엔터프라이즈 리눅스 보안 팟캐스트 에피소드.
권장 사항
위험성, 유병률, 공격 용이성을 고려할 때 TuxCare는 모든 시스템에 대한 패치가 제공되는 즉시 적용할 것을 강력히 권장합니다.
아래에서 지원되는 시스템에 대한 패치 가용성을 확인할 수 있습니다. TuxCare의 수명 주기 연장 지원 서비스에서 확인할 수 있습니다..
또한 다른 운영 체제 및 장치의 경우 가능한 한 빠른 시일 내에 패치를 적용해야 합니다.