기술 지원
문서
로그인
문의하기
CISA 카탈로그에 익스플로잇되는 알려진 취약점 7가지 추가
로한 티말시나
2023년 5월 29일 TuxCare 전문가 팀
CISA(사이버 보안 및 인프라 보안 기관)는 2023년 5월 12일에 알려진 익스플로잇 취약점(KEV) 카탈로그에 7개의 새로운 Linux 취약점을 추가했습니다.
여기에는 루커스 AP 원격 코드 실행(CVE-2023-25717), Red Hat 권한 상승(CVE-2021-3560), Linux Kernel 권한 상승(CVE-2014-0196 및 CVE-2010-3904), 젠킨스 UI 정보 공개(CVE-2015-5317), apache 톰캣 원격 코드 실행(CVE-2016-8735), Oracle 자바 SE 및 JRockit 문제(CVE-2016-3427) 등이 있습니다.
Ruckus 제품 취약점은 AndoryuBot DDoS 봇넷에 의해 악용되었습니다. 그러나 다른 취약점에 대한 익스플로잇에 대한 공개 보고는 아직 없습니다. 그러나 일부 취약점은 10년 전부터 알려져 왔기 때문에 기술적인 세부 사항과 개념 증명(PoC) 익스플로잇을 확인할 수 있습니다.
알려진 7가지 익스플로잇 취약점
10.4를 통해 루커스 무선 관리자는 인증되지 않은 HTTP GET 요청을 통해 원격 코드 실행을 허용합니다. /forms/doLogin?login_username=admin&password=password$(curl 서브 문자열.
이 결함으로 인해 권한이 없는 로컬 공격자가 새로운 로컬 관리자를 만들거나 유사한 작업을 수행할 수 있습니다. 이 취약점으로 인해 발생하는 주요 위험은 데이터 기밀성 및 무결성 손상과 잠재적인 시스템 취약성입니다.
이 결함으로 인해 로컬 사용자는 읽기 및 쓰기 작업 중에 긴 문자열과 관련된 경쟁 조건을 악용할 수 있습니다. 그 결과 공격자는 서비스 거부(메모리 손상 및 시스템 충돌)를 일으키거나 잠재적으로 상승된 권한을 얻을 수 있습니다.
버전 2.6.36 이전의 Linux Kernel에서는 rds_page_copy_user 함수의 net/rds/page.c는 신뢰할 수 있는 데이터그램 소켓(RDS) 프로토콜을 처리하는데, 사용자 공간에서 얻은 주소에 대한 적절한 유효성 검사가 부족합니다. 이 취약점으로 인해 로컬 사용자는 sendmsg 및 recvmsg 시스템 호출이 조작된 사용법으로 악용될 수 있으므로 에스컬레이션된 권한을 얻을 수 있습니다.
1.638 이전 Jenkins 버전과 1.625.2 이전 LTS 버전에서는 지문 페이지에 원격 공격자가 민감한 작업에 액세스하고 직접 요청하여 이름 정보를 구축할 수 있는 취약점이 있습니다.
이 결함은 자격 증명 유형에 영향을 미치고 불일치를 유발하는 CVE-2016-3427 Oracle 패치에 맞게 수신기를 업데이트하지 않아 발생합니다.
Oracle Java SE 버전 6u113, 7u99, 8u77, Java SE 임베디드 8u77 및 JRockit R28.3.9에서 결함이 발견되었습니다. 이 취약점은 JMX(Java 관리 확장)와 관련이 있으며 공격자가 원격으로 악용할 수 있습니다.
악용된 취약점을 위한 솔루션
조직은 제조업체가 보안 지원을 종료한 후에도 Linux 배포판을 사용해야 하는 경우가 많지만, 사이버 범죄자는 이러한 제품의 Lifecycle 종료(EOL) 이후에도 계속해서 취약점을 찾고 악용합니다.
다행히도 TuxCare는 Lifecycle 연장 지원이라는 형태의 솔루션을 제공합니다. 이 서비스를 통해 조직은 공식 Lifecycle 종료일 이후에도 최대 4년 동안 안심하고 시스템을 계속 사용할 수 있습니다. 이 연장 기간 동안 TuxCare는 자동화된 취약성 패치를 제공할 책임이 있습니다.
또한 TuxCare는 CentOS, AlmaLinux, Debian, Ubuntu, Oracle Linux, Amazon Linux, CloudLinux, Red Hat, Rocky Linux, Raspberry Pi OS와 같은 인기 있는 배포판을 포함하여 40개 이상의 Linux 배포판에 대한 실시간 패치 서비스를 제공합니다.
결론
위의 취약점들은 Linux와 공통적으로 연결되어 있어 Linux 시스템을 대상으로 하는 공격에 악용되었을 가능성이 있습니다. 각 취약점에 대한 NIST 권고사항은 이러한 결함의 영향을 설명하고 패치 가용성을 제공하는 Linux 배포판의 권고사항을 참조합니다.
안드로이드 공격에서 Linux Kernel 취약점을 악용하는 경우가 드물지 않기 때문에 이러한 문제 중 일부는 안드로이드 디바이스를 대상으로 하는 공격에도 악용되었을 가능성이 높습니다.
CISA는 두 가지 취약점 간의 연관성을 확인했습니다. apache 톰캣 결함의 존재는 Oracle의 CVE-2016-3427에 대한 수정 사항을 통합하도록 업데이트되지 않은 구성 요소에 기인합니다. 그러나 여러 결함이 결합되어 단일 공격에 사용되었는지 또는 동일한 위협 행위자가 취약점을 악용했는지 여부는 명확하지 않습니다.
이 글의 출처는 SecurityWeek의 기사입니다.
