기술 지원
문서
로그인
문의하기
"더티 파이프"에 이어 Linux도 이제 "더티 크레딧"에 취약해졌습니다.
드시 위쳐
2022년 10월 13일 - 마케팅 부사장
많은 사람들이 휴가를 즐기고 있을 때 전 세계에서 온 보안 연구원, 다양한 색상의 모자를 쓴 해커, 정보 요원들이 블랙햇 보안 컨퍼런스에 모였습니다.
종종 그렇듯이 몇 가지 흥미로운 새로운 취약점이 공개되었습니다.
그 중에서도 가장 많이 제기된 취약점 중 하나는 박사 과정 학생인 Zhenpeng Li가 소개한 것으로, 올해 초에 공개된 '더티 파이프'의 변종으로 몇 년 전의 '더티 카우'를 연상시키는 취약점입니다.
새로 보고된 이 취약점은 "더티 크레딧"이라고 불립니다. 특정 취약점에 이름을 붙이는 것이 유용한지에 대해서는 아직 논란의 여지가 있지만, 실제로 발생했습니다.
"더티 파이프"(CVE-2022-0847)를 상기해보면, 쓰기 권한이 할당되지 않은 경우에도 Kernel 메모리의 캐시 내용을 덮어쓰는(즉, "더티") 것이 가능했으며, 이는 결과적으로 파일의 내용을 덮어쓰는 것이었습니다. 이는 캐시를 읽고 쓰는 내부 Kernel 메커니즘을 악용하는 데 의존하며, 일부 신중하게 선택된 플래그를 통해 공격자가 선택한 데이터가 임의의 파일에 기록될 수 있습니다. 몇 가지 추가 주의 사항이 있었지만, 핵심 문제는 기본적으로 모든 Linux 시스템에서 권한을 상승시키는 데 빠르게 악용되었습니다.
새로운 취약점(CVE-2022-2588)은 다른 Kernel 기능을 악용하여 작업을 시작한 사용자의 실제 권한과 관계없이 특정 작업이 실행되는 권한을 변경할 수 있는 방법을 제공합니다. 이는 Kernel이 자격 증명이 저장된 메모리 위치에 다른 정보를 쓰도록 속이는 힙 악용 상황에서 발생합니다(사용자가 시스템에 로그인할 때 필요한 자격 증명이 아닌 Kernel 내부 작업 자격 증명 및 오픈 파일 자격 증명).
공격자가 성공하려면 권한 있는 자격 증명과 권한 없는 자격 증명의 조합이 메모리에 특정 순서로 저장될 때까지 기다려야 하지만, 여기에는 파일 열기 작업도 포함되므로 시스템이 취약한 상태에 있는 경우가 많으며, 이러한 상황이 저절로 발생하지 않으면 속아서 넘어갈 수도 있습니다.
이 새로운 취약점의 흥미롭고 잠재적으로 더 큰 피해를 줄 수 있는 측면 중 하나는 이 취약점을 악용하는 코드가 x86_64뿐만 아니라 다른 아키텍처에서도 변경 없이 작동한다는 점입니다. 따라서 메모리 구조가 다르다는 이유로 일반적으로 이와 같은 메모리 손상 및 관련 문제를 회피하는 시스템도 위험에 노출됩니다. 이는 메모리 정렬, 명령어 수 또는 기타 난해한 특성의 차이를 고려하기 위해 모든 특정 CPU 아키텍처에 맞게 커스텀 코딩해야 하는 기존 익스플로잇에서 벗어난 것입니다.
영향을 받는 다양한 배포판 및 Kernel 버전에 대해 "더티 크레딧"으로부터 보호하는 KernelCare Enterprise 패치의 상태는 다음에서 모니터링할 수 있습니다. https://cve.tuxcare.com/live?cve=2022-2588.
안타깝게도 이 취약점은 이미 공개되어 광범위하게 논의되고 있을 뿐만 아니라 공개 익스플로잇 코드가 이미 발견되었으므로 모든 시스템에서 가능한 한 빨리 패치를 적용해야 합니다.
