ClickCease 알아야 할 Linux Kernel 취약점(재부팅 없이 완화하기)

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

알아야 할 Linux Kernel 취약점(재부팅 없이 완화하기)

로한 티말시나

2023년 7월 5일 TuxCare 전문가 팀

Linux 오픈 소스 커뮤니티에서는 개발자들이 코드베이스에 추가하고 기능과 성능을 개선할 수 있습니다. 하지만 이러한 환경은 해커가 소스 코드에 액세스할 수 있다는 것을 의미하므로 중요한 서버를 포함한 Linux 기반 디바이스는 잠재적인 취약성에 노출될 수 있습니다.

알려진 취약점은 공급업체, 개발자, 사용자가 특정 소프트웨어 버전에 영향을 미치는 익스플로잇을 인지할 수 있는 중앙 집중식 NIST 취약성 데이터베이스에 보고됩니다. CVE(공통 취약점 및 노출) 보고서는 사용자가 확인된 문제를 해결하기 위해 Linux 커널을 포함한 소프트웨어 패치를 즉시 적용하도록 하는 신호 역할을 합니다.

이 문서는 최근 Linux 커널 취약점에 대해 알아보고 서버를 재부팅하거나 서비스를 중단하지 않고도 취약점을 완화할 수 있는 솔루션을 제공하는 것을 목표로 합니다.

 

Linux 커널 취약점 2023 

매달 새로운 CVE 가 공개적으로 사용 가능한 NIST 데이터베이스 Linux 커널에서 이미 130개 이상의 취약점이 발견되었습니다. 대부분의 대형 보안 침해 사고의 주요 원인은 패치되지 않은 소프트웨어 또는 오래된 버전의 소프트웨어입니다.

서버와 디바이스를 보호할 수 있도록 최근에 발견된 몇 가지 CVE에 대해 알아두어야 할 사항을 소개합니다.

넷필터 리눅스 커널 취약점 CVE-2023-32233

CVSS 3.x 점수: 7.8(높음) 

넷필터는 Linux 커널의 패킷 필터링 및 NAT(네트워크 주소 변환)를 위한 프레임워크입니다. 이 프레임워크를 관리하는 데는 UFW 및 IPtables와 같은 도구가 사용됩니다. 

익명 집합의 잘못된 처리로 인해 넷필터 nf_tables에서 새로운 취약점이 발견되었습니다. 그 결과, 로컬 사용자가 이 사용 후 무료 취약점을 사용하여 루트 권한을 얻고 커널 메모리에 대한 임의의 읽기 및 쓰기 작업을 수행할 수 있습니다.

 

Linux 커널의 넷필터 하위 시스템 취약점(CVE-2023-0179)

CVSS 3.x 점수: 7.8(높음)

리눅스 커널의 넷필터 하위 시스템에서도 버퍼 오버플로 취약점이 발견되었습니다. 이 문제로 인해 스택 및 힙 주소가 모두 유출될 수 있으며, 임의 코드 실행을 통해 루트 사용자에게 로컬 권한 상승이 허용될 수 있습니다.

 

Linux 커널의 성능 이벤트 취약점(CVE-2023-2235)

CVSS 3.x 점수: 7.8(높음)

Linux 커널의 성능 이벤트 시스템에서 사용 후 무료 취약점이 발견되었습니다. 이 취약점은 perf_group _detach 함수가 add_event_to_groups()를 호출하기 전에 이벤트의 형제 이벤트의 attach_state를 확인하지 않아서 발생했지만, remove_on_exec을 사용하면 해당 그룹에서 분리되기 전에 list_del_event()를 호출할 수 있어 매달린 포인터를 사용할 수 있게 되어 발생했습니다.

 

Linux 커널 SGI GRU 드라이버 취약점(CVE-2022-3424)

CVSS 3.x 점수: 7.8(높음)

Linux 커널의 SGI GRU 드라이버에서 사용자가 첫 번째 gru_file_unlocked_ioctl 함수를 호출할 때 gru_check_chiplet_assignment 함수에서 패스 실패가 발생하는 사용 후 무료 취약점이 발견되었습니다. 로컬 사용자는 이 결함을 악용하여 시스템 충돌을 일으키거나 시스템에 대한 권한을 에스컬레이션할 수 있습니다.

 

Linux 커널 Ext4 파일 시스템 취약점(CVE-2023-1252)

CVSS 3.x 점수: 7.8(높음)

사용자가 오버레이 FS 사용법을 사용하는 동안 동시에 여러 파일 작업을 시작할 때 Linux 커널의 Ext4 파일 시스템에서 사용 후 무료 취약점이 발견되었습니다. 로컬 사용자가 이 결함을 사용하여 시스템을 충돌시키거나 잠재적으로 권한을 상승시킬 수 있습니다. 

2023년에 발견된 다른 리눅스 커널 취약점도 있으며, 이전 게시물에서 다룬 바 있습니다: 리눅스 커널에서 발견된 새로운 보안 취약점.

 

알아야 할 몇 가지 Linux 커널 취약점

이 글에서 지금까지 소개한 최신 CVE 외에도, Linux 기반 서버와 디바이스의 보안을 위해 알아야 할 가장 중요한 오래된 CVE 몇 가지를 모았습니다.

한 번 살펴보겠습니다.

하트블리드(CVE-2014-0160)

CVSS 3.x 점수: 7.5(높음)

코드노미콘은 소프트웨어에 대한 정기 테스트를 수행하던 중 심각한 버퍼 초과 읽기 OpenSSL '하트블리드' 취약점을 발견했습니다. 하트블리드 는 SSL 관리를 위해 OpenSSL을 사용하는 서버에 영향을 미치는 가장 심각한 버그 중 하나가 되었습니다. 이 사건은 단 한 줄의 코딩 오류로도 심각한 버그가 발생할 수 있다는 사실을 일깨워주는 계기가 되었습니다. 단 하나의 코딩 오류 하트블리드 취약점으로 이어졌기 때문입니다.

memcpy(bp, pl, payload);

bp 변수는 복사된 데이터를 수신하는 포인터이고 pl 변수는 소스 데이터에 대한 포인터입니다. 그리고 페이로드 변수는 복사할 바이트 수를 나타냅니다. 안타깝게도 개발자가 페이로드 변수의 길이를 검증하는 것을 간과하여 공격자가 악용할 수 있는 취약점이 발생했습니다.

이 시나리오에서 공격자는 pl 변수에 대해 8바이트의 데이터를 페이로드로 전송하면서 페이로드 변수에 64바이트를 악의적으로 할당할 수 있습니다. 결과적으로 영향을 받는 소프트웨어인 OpenSSL은 의도한 8바이트 대신 64바이트의 데이터를 전송하게 됩니다. 메모리에 남은 바이트는 개인 키, 비밀번호, 사용자 데이터 또는 메모리의 남은 바이트 길이에 저장된 기타 모든 것일 수 있습니다. 하트블리드는 버퍼 오버플로가 아니라 과다 읽기 문제라는 점에 유의하는 것이 중요합니다. 페이로드 길이를 제대로 확인하지 않아 과도한 읽기 작업이 발생하여 의도하지 않은 데이터가 메모리에 노출된 것입니다.

패치를 적용하기 전에 이 문제를 해결하기 위해 -DOPENSSL_NO_HEARTBEATS 매개변수를 사용하여 OpenSSL을 다시 컴파일할 수 있습니다. 그러나 이 접근 방식은 SSL 하트비트에 의존하는 애플리케이션에 예기치 않은 결과를 초래할 수 있습니다. 따라서 하트비트에 의존하는 애플리케이션은 충돌, 오류 메시지 또는 제대로 작동하지 않을 수 있습니다. 따라서 적시에 패치를 우선순위에 두는 것이 중요합니다. 

KernelCare Enterprise 를 사용하면 관리자가 시스템을 재부팅할 필요 없이 OpenSSL을 패치할 수 있습니다. 이를 통해 관리자는 가동 중단 시간이나 잠재적으로 위험한 완화 방법을 피하면서 하트블리드 취약성을 해결할 수 있습니다.

 

스펙터 및 멜트다운(CVE-2017-5753, CVE-2017-5715, CVE-2017-5754)

CVSS 3.x 점수: 5.6(보통)

스펙터와 멜트다운이 다른 CVE와 다른 점은 소프트웨어 관련 문제가 아닌 하드웨어 문제라는 점입니다. 이 취약점들은 거의 모든 디바이스에 영향을 미쳤으며 인텔이 프로세서 제조 방식을 변경해야 할 정도로 전 세계적으로 큰 영향을 미쳤습니다. 두 취약점 모두 하드웨어의 다양한 권한 검사 실패로 인해 공격자가 로컬 디바이스에서 실행 중인 메모리를 읽을 수 있게 해줍니다. 

멜트다운은 권한 검사를 우회하고 스펙터는 애플리케이션을 속여 권한이 있는 메모리에 액세스하도록 합니다. 두 경우 모두 공격자는 커널과 매핑된 물리적 메모리에서 운영 체제 명령에 액세스할 수 있으며, 여기에는 비밀번호, 키 및 기타 민감한 데이터가 포함될 수 있습니다.

발견 후 인텔은 새로운 프로세서에서 이 취약점을 제거하기 위해 프로세서 제조 공정을 변경한다고 발표했습니다. 또한 이 문제를 해결하기 위한 패치가 출시되었지만, 특히 구형 컴퓨터에서 사용자가 상당한 성능 저하를 경험했습니다. 

이 문제를 완화하기 위해 두 개의 패치가 릴리스되었습니다: 카이저 와 멜트다운에 대한 Retpoline 패치입니다. 완화 조치의 가장 큰 문제점은 성능이 크게 저하되고 재부팅이 필요하다는 점입니다. 커널케어 는 재부팅할 필요 없이 이 두 가지 취약점에 대한 패치를 적용합니다.

 

돌연변이 천문학(CVE-2018-14634)

CVSS 3.x 점수: 7.8(높음)

돌연변이 천문학(너무 많은 인수의 약자)은 로컬 사용자만 악용하여 Linux 시스템에 대한 루트 권한을 얻을 수 있는 매우 중요한 문제 중 하나입니다. Linux의 create_elf_tables() 함수의 버퍼 오버플로로 인해 권한 상승이 발생했습니다. 공격자는 함수에 전달되는 인수를 제한하는 데 사용되는 MAX_ARG_STRINGS 값을 오버플로하고 SUID 루트 바이너리를 사용하여 자체 환경 변수 및 함수를 삽입할 수 있습니다. 

그 결과 공격자는 권한을 에스컬레이션하거나 로컬 디바이스에서 악성 함수를 실행하거나 자체 환경 변수를 삽입할 수 있습니다. 취약한 코드에 대한 자세한 내용을 확인하기 위해 Qualys는 조사 결과를 발표했습니다. 여기.

이 취약점을 공격하려면 사용자가 로컬 머신에 있어야 할 뿐만 아니라 64비트 커널을 실행하는 16GB 이상의 RAM이 장착된 디바이스도 필요하다는 점에 유의해야 합니다. 하지만 이 취약점은 심각한 결함이므로 가능한 한 빨리 패치해야 합니다. Qualys의 연구원들은 대부분의 Linux 사용자는 영향을 받지 않지만 이 공격에 취약한 주요 표적은 RedHat 및 CentOS 시스템이라는 것을 발견했습니다. RedHat은 해결 방법를 발표했지만 여전히 재부팅이 필요합니다.

오랜 시간이 걸리는 해결 방법을 적용하는 대신 Linux 서버에서 커널케어 를 실행하는 Linux 서버는 패치를 받게 되며 재부팅할 필요가 없습니다.

 

좀비로드(마이크로아키텍처 데이터 샘플링) CVE-2018-12207

CVSS 3.x 점수: 6.5(보통)

스펙터와 멜트다운에 이어 "좀비로드"로 알려진 또 다른 하드웨어 버그가 발견되었습니다. 좀비로드일련의 익스플로잇 마이크로프로세서의 추측 명령 기능을 악용하는 일련의 익스플로잇으로 구성됩니다. 프로세서는 성능을 향상시키기 위해 다음에 실행될 가능성이 있는 미래의 명령어를 캐시하려고 시도합니다.

좀비로드 및 기타 마이크로아키텍처 데이터 샘플링(MDS) 공격은 이 메모리 공간을 둘러싼 보호 경계가 허술한 점을 악용하여 애플리케이션을 속여 중요한 데이터를 유출합니다.

이 문제를 해결하려면 다음 세 가지 단계를 수행하여 완화할 수 있습니다.

  • 프로세서에서 마이크로코드 업데이트하기
  • BIOS에서 하이퍼스레딩 비활성화(수동 지침은 BIOS 제조업체에 따라 다름)
  • Linux Kernel 패치하기

 

최종 생각

모든 Linux 커널 취약점에 고유한 CVE가 있는 것은 아니지만, Linux 관리자는 정기적으로 서버의 취약점을 검사하고 새로운 취약점이 발견되면 패치를 적용하는 것이 중요합니다. 패치가 적용되지 않은 시스템의 결과는 위의 각 사례에서 회사와 평판에 재앙을 초래할 수 있습니다.

TuxCare의 커널케어 엔터프라이즈 는 시스템 재부팅이나 다운타임 없이 위의 모든 취약점을 패치할 수 있습니다. 이 솔루션을 사용하면 시간이 많이 걸리고 위험하며 소프트웨어 사용성 문제를 일으키고 일시적인 해결책만 제공하는 패치 방법과 작별할 수 있습니다.

KernelCare를 사용하면 서버에 중요하지 않은 패치와 중요한 패치가 제공되는 즉시 적용되며, 시스템이 실행되는 동안 백그라운드에서 배포됩니다. 지연, 번거로운 해결 방법, 유지 관리 작업 예약, 다운타임이 없으며, 가장 중요한 것은 잠재적 공격자에게 취약한 구멍이 생기지 않는다는 점입니다.

커널케어 엔터프라이즈 패치 정보는 다음 링크에서 확인할 수 있습니다. patches.kernelcare.com.

요약
알아야 할 Linux Kernel 취약점(재부팅 없이 완화하기)
기사 이름
알아야 할 Linux Kernel 취약점(재부팅 없이 완화하기)
설명
2023년에 발견된 최근 Linux 커널 취약점과 재부팅 없이 이를 완화할 수 있는 솔루션에 대해 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기