공격에 적극적으로 악용되는 고스트스크립트 취약점
Linux 시스템에서 널리 사용되는 도구인 고스트스크립트 라이브러리에서 심각한 원격 코드 실행(RCE) 취약점이 발견되었습니다. CVE-2024-29510으로 추적되는 이 취약점은 현재 공격에 악용되고 있으며, 수많은 애플리케이션과 서비스에 심각한 위험을 초래하고 있습니다.
고스트스크립트는 포스트스크립트 및 PDF 파일 처리에 사용되는 강력하고 다재다능한 도구입니다. 많은 Linux 배포판에 사전 설치되어 있으며 ImageMagick, LibreOffice, 김프, 잉크스케이프, 스크립버스 및 CUPS 인쇄 시스템을 비롯한 다양한 문서 변환 소프트웨어에 통합되어 있습니다.
CVE-2024-29510 - 고스트스크립트 취약점
CVE-2024-29510 취약점은 모든 고스트스크립트 10.03.0 및 이전 설치에 영향을 미치는 형식 문자열 결함입니다. 이 보안 문제를 통해 공격자는 기본적으로 활성화되어 있는 보호 조치인 -dSAFER 샌드박스를 우회할 수 있습니다. 패치되지 않은 버전의 Ghostscript는 샌드박스가 활성화된 후 유니프린트 장치 인수 문자열의 수정을 방지하지 못합니다. 그 결과 공격자는 샌드박스가 차단해야 하는 명령 실행 및 파일 I/O와 같은 고위험 작업을 수행할 수 있습니다.
영향 및 악용
이 취약점으로 인해 활성화되는 보안 우회는 특히 위험합니다. 공격자는 고스트스크립트 포스트스크립트 인터프리터를 사용하여 대상 시스템에서 임의의 명령을 실행하고 파일을 조작할 수 있습니다. 이는 문서 변환 및 미리보기 기능을 위해 고스트스크립트에 의존하는 웹 애플리케이션과 서비스에 광범위한 영향을 미칩니다.
공격자들은 JPG(이미지) 파일로 위장한 EPS(포스트스크립트) 파일을 사용하여 고스트스크립트 취약점을 적극적으로 악용하고 있습니다. 이 기술을 통해 공격자는 취약한 시스템에 셸 액세스 권한을 부여받습니다. 개발자 빌 밀은 "프로덕션 서비스에 고스트스크립트가 *어디서나* 있다면, 놀랍도록 사소한 원격 셸 실행에 취약할 수 있으므로 업그레이드하거나 운영 시스템에서 제거해야 합니다."라며 이 문제의 심각성을 강조했습니다.
탐지 및 완화
코데안 랩스는 방어자가 시스템이 CVE-2024-29510 공격에 취약한지 탐지하는 데 도움이 되는 포스트스크립트 파일을 제공했습니다. 제공된 파일로 다음 명령을 실행하면 취약점이 있는지 확인할 수 있습니다:
ghostscript -1 -dNODISPLAY -dBATCH Cve-2024-29510_testkit.ps
고스트스크립트 개발팀은 5월에 보안 취약점을 패치했습니다. 그러나 패치가 제공되었음에도 불구하고 공격자들은 패치가 적용되지 않은 시스템을 계속 악용하고 있습니다. 코데안 랩은 위험을 완화하기 위해 고스트스크립트를 버전 10.03.1로 업데이트할 것을 권장합니다. 사용 중인 배포판에서 최신 버전을 사용할 수 없는 경우, Debian, Ubuntu 및 Fedora와 같은 많은 배포판에서 이 취약점을 해결하는 업데이트가 릴리스되었으므로 패치된 버전을 찾아보세요.
결론
이 고스트스크립트 취약점의 적극적인 악용은 적시에 소프트웨어 업데이트와 보안 패치를 적용해야 할 필요성을 강조합니다. 문서 처리 및 웹 서비스에서 널리 사용되는 고스트스크립트의 특성상 이 결함은 심각한 위협이 될 수 있습니다. 시스템 관리자와 사용자는 Ghostscript를 최신 패치 버전으로 업데이트하여 시스템을 보호하기 위한 즉각적인 조치를 취해야 합니다.
이 글의 출처는 BleepingComputer의 기사입니다.