Kernel의 "더티 파이프"

몇 년 전, "더티 카우"(CVE-2016-5195)라고 불리는 취약점이 한동안 주목을 받은 적이 있습니다. 이 취약점은 쉽게 악용될 수 있는 권한 상승 경로로, 기본적으로 모든 Linux 배포에 영향을 미치며 광범위하게 악용되었습니다. 이 취약점은 Kernel의 COW(Copy-On-Write) 메커니즘을 악용했으며, 나중에 파일 업로드를 허용하는 웹 서버를 통해 원격으로 악용할 수 있는 것으로 밝혀졌습니다.

2022년 3월 7일, "더티 파이프"(CVE-2022-0847)라는 별칭으로 모든 최신 Linux 배포판에 영향을 미치는 유사한 취약점이 공개되었습니다. 이 취약점은 권한이 없는 사용자가 Linux 시스템의 모든 파일 또는 파일의 일부를 덮어쓸 수 있으며, 심지어 읽기 전용 파일도 덮어쓸 수 있습니다. SUID 파일을 대체할 수 있는 몇 가지 변종이 이미 공개되었습니다.

CVE-2022-0847에 대한 패치는 며칠 내로 KernelCare를 통해 제공될 예정이며, 패치가 준비되는 대로 이 게시물에 가용성 정보가 업데이트될 예정입니다. 현재 취약한 Kernel 버전은 5.8 이상이며, 결함이 있는 커밋은 여러 4.x 버전에도 백포트되어 있습니다.

[ 3월 9일업데이트: 이제 RHEL 8 및 Oracle EL 8에 대한 업데이트를 배포할 수 있습니다. 다른 배포판에 대한 추가 패치가 준비 중입니다.

3월 10일 업데이트: CentOS8, 알말Linux 8, 록키 Linux, Ubuntu 20.04, 클라우드Linux 8, 클라우드Linux 7시간에 대한 업데이트도 완료되어 피드에 표시될 예정입니다.

3월 11일 업데이트: Ubuntu 18.04, Proxmox VE5 및 Proxmox VE6에 대한 또 다른 업데이트 배치가 릴리스되었습니다.]

CVE-2022-0847의 근본적인 결함을 이해하려면 먼저 CVE-2016-5195에 대한 간단한 정보를 제공하는 것이 중요합니다. "더티 카우" 공격이 가능했던 이유는 Kernel 내의 복사-온-쓰기 하위 시스템에서 경쟁 조건이 발견되었기 때문입니다. 그 결과, 권한이 없는 사용자가 이 결함을 통해 접근할 수 없는 메모리 위치에 쓸 수 있게 되었습니다. 이렇게 하면 해당 메모리 위치가 "더럽혀지게" 되므로 이름이 붙여졌습니다. 적절한 동기를 가진 악의적인 공격자라면 이 취약점을 이용해 권한 상승을 노리는 것은 아주 간단한 작업이며, 실제로 실제로 그런 일이 발생했습니다. "더티 카우"는 로컬 전용 익스플로잇으로 시작되었지만, 곧 사용자의 업로드를 허용하는 옵션이 있는 웹 서버도 공격 벡터로 사용될 수 있다는 사실이 밝혀졌습니다. 따라서 이 취약점은 원격으로 익스플로잇할 수 있는 것으로 밝혀졌습니다.

몇 년이 지난 지금, IT 팀은 취약점에 별명을 붙이는 것이 그다지 전문적인 일이 아니라고 생각한다면 "더티 파이프", 즉 CVE-2022-0847에 직면해 있습니다. 이름에서 알 수 있듯이 이번 결함은 파이프 처리 코드에 있습니다. 파이프는 프로세스 간에 정보를 전달하는 방법으로 사용됩니다. 파이프가 가장 눈에 띄게 사용되는 방식은 명령을 연결할 때 "파이프"를 통해 한 명령에서 다음 명령으로 출력을 전달할 때입니다. 파이프는 최종 사용자나 스크립트가 셸에서 사용하는 것이 아니라 코드에서 직접 만들 수도 있습니다.

이 커밋에서 Linux Kernel에 도입된 코드가 파이프 플래그(파이프 동작을 제어하는 방법)를 처리하는 방식을 "리팩터링"한 것으로 밝혀졌습니다. 이 취약점이 발견되기까지의 광범위한 프로세스는 여기에서 확인할 수 있습니다.

간단히 말해, 시스템 내의 모든 파일에서 사용자가 제어하는 위치에 사용자가 제어하는 콘텐츠를 작성하는 것이 가능해졌습니다(Linux 시스템의 모든 것이 엄밀히 말해 '파일'이므로 이 취약점의 새로운 변종은 아직 알려지지 않은 새로운 동작을 유발할 수 있습니다). 예를 들어, /etc/shadow에 새로운 콘텐츠를 삽입하거나 시스템을 조작하는 더 교묘한 방법을 사용할 수 있습니다.

익스플로잇 코드는 사소한 것이기 때문에 이미 온라인에서 널리 퍼져 있습니다(이를 막기 위해 블로그에 익스플로잇 코드에 대한 직접 링크를 게시하는 것을 자제하고 있습니다). 파이프는 Kernel의 기본 기능이기 때문에 이 취약점으로 인한 잠재적 위험은 매우 높습니다. 또한 동일한 결함이 단순히 쓰기 불가능한 파일에 직접 쓰는 것이 아니라 다른 시스템 구성 요소를 악용하는 데 사용되는 여러 변종이 이미 발견되었다는 점도 주목할 만합니다. 2016년 '더티 카우'에 등장한 것처럼 원격으로 익스플로잇 가능한 공격 벡터가 앞으로 등장할 것이라고 상상하는 것은 그리 무리한 일이 아닙니다.

빠른 확인을 위해 사용 중인 Kernel 버전을 확인하실 수 있습니다. 5.8 이전 Kernel 및 5.16.11, 5.15.25, 5.10.102부터 시작하는 Kernel은 영향을 받지 않습니다. 다른 Kernel 버전은 각 공급업체의 특정 백포트 정책에 따라 달라질 수 있으며 현재 평가 중입니다.

이제 RHEL 8, Oracle EL 8, CentOS8, Almalinux 8, Rocky Linux, Ubuntu 18.04, Ubuntu 20.04, Proxmox VE5, Proxmox VE6, CloudLinux 8 및 CloudLinux 7h에 대한 업데이트가 KernelCare Enterprise를 통해 배포할 수 있습니다. 다른 배포판에 대한 추가 패치가 준비 중입니다. IT 팀은 가능한 한 빨리 이 취약점을 패치할 것을 강력히 권장합니다. KernelCare Enterprise용 TuxCare 패치는 곧 제공될 예정이며, 각 패치가 출시되면 실제 사용 가능 여부를 반영하여 이 게시물을 업데이트할 예정입니다.

원래 배포 공급업체가 자체 라이브 패치 솔루션으로 패치를 제공할 수 없는 경우에도 TuxCare의 KernelCare Enterprise는 '더티 파이프'에 대한 라이브 패치를 제공하고 있습니다.

KernelCare Enterprise를 사용하면 실행 중인 워크로드를 중단하거나 시스템을 재부팅할 필요 없이 이 취약점 및 기타 취약점에 대한 패치를 받을 수 있습니다. KernelCare Enterprise 및 기타 TuxCare 제품에 대해 자세히 알아보려면 여기를 확인하세요.