ClickCease 크로스 레이어 공격에 대응하는 KernelCare 패치 출시 - TuxCare

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

크로스 레이어 공격에 대한 KernelCare 패치가 출시되었습니다.

2020년 12월 25일 TuxCare 홍보팀

크로스 레이어 공격에 대한 KernelCare 패치가 출시되었습니다.

세이프브리치의 보안 연구 담당 부사장이자 이스라엘 바-일란 대학교의 보안 연구원인 아밋 클라인은 의사 난수 생성기(PRNG)의 새로운 취약점(CVE-2020-16166)을 발견했습니다.

이 취약점은 DNS 캐시 중독의 위험을 높이고 Linux 및 Android 디바이스를 무단으로 식별 및 추적할 수 있는 새로운 해킹 기법인 크로스 레이어 공격의 문을 열어줍니다.

Debian 10, Debian 8, Oracle Linux UEK 5 및 6, Ubuntu 18.04, 20.04용 KernelCare 패치는 이미 제공되고 있습니다. RHEL 8 및 Oracle Linux UEK 4용 패치는 다음 주 초에 릴리스될 예정입니다.

 

콘텐츠:

  1. CVE-2020-16166, 교차 계층 공격 정보

  2. CVE-2020-16166의 영향을 받는 Linux 배포판

  3. KernelCare 응답

 

CVE-2020-16166, 교차 계층 공격 정보

Kernel 버전 5.7.11부터 원격 공격자는 Linux Kernel을 관찰하여 네트워크의 RNG(난수 생성) 내부 상태에 대한 민감한 정보를 추출할 수 있습니다. 이는 Kernel 코드의 두 가지 부분인 drivers/char/random.c와 kernel/time/timer.c와 관련이 있습니다.

CVE-2020-16166을 통해 공격자는 "크로스 레이어" 공격을 수행할 수 있습니다. Linux Kernel에 대한 이 공격은 Linux에서 PRNG(의사 난수 생성)가 처리되는 방식의 특정 취약점을 악용합니다.

일부 Linux 시스템에서는 결함이 있는 PRNG가 세 가지 주요 네트워크 알고리즘을 구동하기 때문에 이러한 공격이 가능합니다:

 

  • UDP 소스 포트 생성
  • IPv6 플로우 레이블 생성
  • IPv4 ID 생성

 

공격자는 특정 네트워크 OSI 계층에서 PRNG의 내부 상태를 유추하는 것부터 시작합니다. 그런 다음 공격자는 이 보안 취약점을 이용해 다른 OSI 계층에서 임의의 값을 예측합니다. 공격자가 임의의 값을 예측할 수 있다는 것은 공격자가 일부 Linux 시스템에서 DNS 캐시를 오염시킬 수 있는 기회를 얻게 된다는 것을 의미합니다.

이러한 DNS 중독 위험은 로컬 네트워크와 원격 네트워크 모두에 존재합니다. 그러나 중독된 DNS 서버는 대상 네트워크 외부에 있어야 합니다.

또한, Linux 시스템 내부에서 난수 생성을 추론하는 기능을 통해 공격자는 Android 및 Linux 디바이스의 사용자를 추적할 수 있습니다.

Linux 시스템과 Android와 같은 Linux Kernel 기반의 기타 운영 체제만 이 공격에 취약하다는 점에 유의하세요.

이 공격 벡터에 대한 해결책은 Linux의 현재 PRNG를 더 강력한 난수 생성을 제공하는 알고리즘으로 교체하는 것입니다. 최신 Linux 버전에는 개선된 PRNG가 포함되어 있습니다.

또한 DNS-over-HTTPS를 사용하는 애플리케이션은 공격을 차단하지만 DNS 서버와 스텁 확인자가 모두 DNS-over-HTTPS를 완전히 지원하는 경우에만 차단된다는 점에 유의하세요. 그러나 DNS-over-HTTPS를 사용한다고 해서 기기 추적의 위험이 사라지지는 않습니다.

데비안 Linux와 CentOS Linux는 DNS 캐시를 사용하지 않지만, 두 Linux 배포판 모두 CVE-2020-16166에 여전히 취약하다는 점에 유의하세요.

 

CVE-2020-16166의 영향을 받는 Linux 배포판

이 취약점을 발견한 연구원 아밋 클라인은 Ubuntu 서버가 가장 취약하다고 말합니다. Ubuntu 스텁 리졸버의 고유한 특성은 공격자가 Ubuntu 서버를 겨냥한 특히 강력한 DNS 공격을 선택할 수 있다는 것을 의미합니다.

클라인에 따르면 전 세계 웹 서버의 13.4%가 Ubuntu에서 실행되고 있다는 점을 고려할 때 이는 큰 위험을 의미합니다. 또한 웹 서버의 또 다른 3.4%는 Ubuntu와 공용 DNS 서버를 함께 실행합니다. 이는 CVE-2020-16166의 익스플로잇으로 이어질 수 있는 전제 조건을 충족합니다.

클라인은 데일리스위그와의 인터뷰에서 개인 DNS를 사용하는 서버(예: ISP)도 공격에 노출되어 있기 때문에 위의 수치는 보수적인 추정치라고 생각하며, 공격자가 더 많은 노력과 준비를 해야 할 것이라고 생각한다고 말했습니다. 클라인은 취약한 Linux 서버에서 사설 DNS를 사용하는 경우 공격이 얼마나 실현 가능한지 예측할 수 없다고 말합니다.

그럼에도 불구하고 클라인은 DNS 캐시 중독으로 인해 광범위한 보안 문제가 발생할 수 있다고 경고합니다. 그는 이메일 보안 손상, HTTP 및 이메일 트래픽 하이재킹, 스팸 방지 및 블랙리스트 보호 우회 기능 등을 몇 가지 예로 들었습니다.

또한 CVE-2020-16166은 공격자가 로컬(블랙홀 호스트)에서 DoS 공격을 실행하고, 역방향 DNS 확인을 손상시키며, Linux 서버의 시계를 유지하는 중요한 도구인 네트워크 시간 프로토콜(NTP) 클라이언트에 대한 공격을 실행할 수 있게 해줍니다.

 

KernelCare 응답

현재 Debian 10, Debian 8, Oracle Linux UEK 5 및 6, Ubuntu 18.04, 20.04에 대한 패치가 제공되고 있으며 향후 4시간 이내에 KernelCare가 설치된 모든 시스템에 적용될 예정입니다.

Oracle Linux UEK4, RHEL8(CentOS 8, CL8, CL7h)에 대한 패치는 다음 주 초에 릴리스될 예정입니다.

RHEL 7의 패치 적용은 패치는 공급업체에서 해결되지 않습니다.

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기