Linux 커널에서 발견된 여러 넷필터 취약점
2023년 한 해 동안 Linux 커널에서 총 233개의 취약점이 발견되었으며, 평균 공통 취약점 및 노출(CVE) 기본 점수는 10점 만점에 6.5점입니다. Linux 커널의 넷필터 하위 시스템에서 심각도 중간에서 높음에 이르는 수많은 보안 취약점이 발견되었습니다. Linux 커널은 로컬 권한 상승 또는 시스템 충돌을 일으킬 수 있는 이러한 Netfilter 취약성에 취약한 것으로 나타났습니다.
이러한 취약점의 심각성은 국가 취약점 데이터베이스(NVD)에서 "높음"으로 평가되었으며, 이는 심각한 피해를 입힐 수 있음을 나타냅니다. 잠재적 위험을 효과적으로 완화하려면 이러한 취약점을 즉시 해결하는 것이 필수적입니다.
이 블로그 게시물에서는 Linux 커널의 넷필터 하위 시스템에서 발견된 몇 가지 심각도가 높은 취약점에 대해 살펴보겠습니다.
심각도가 높은 넷필터 취약점
CVE-2023-4244
로컬 권한 상승에 악용될 수 있는 Linux 커널의 넷필터 구성 요소인 nf_tables에서 취약점이 발견되었습니다. 이 취약점은 nf_tables의 넷링크 제어 플레인 트랜잭션과 nft_set 요소의 가비지 수집 프로세스 간에 발생하는 경쟁 조건으로 인해 발생합니다. 이 경합 조건의 결과로 참조 카운터의 언더플로우를 트리거할 수 있게 되어 결과적으로 사용 후 자유 취약점으로 이어집니다.
CVE-2023-3777
Linux 커널의 넷필터 구성 요소, 특히 nf_tables에 있는 사용 후 무료 취약점은 로컬 권한 상승에 악용될 가능성이 있습니다. 이 취약점은 체인이 바인딩되었는지 여부를 검증하지 못하는 nf_tables_delrule() 함수에서 테이블 규칙을 플러시하는 동안 명백하게 드러납니다. 또한 특정 상황에서는 체인의 소유자 규칙이 객체를 릴리스할 수도 있어 문제가 더욱 복잡해집니다.
CVE-2023-4015
Linux 커널의 넷필터 구성 요소, 특히 nf_tables 내에 로컬 권한 에스컬레이션을 달성하기 위해 조작할 수 있는 사용 후 사용 가능 취약점이 존재합니다. 이 취약점은 nftables 규칙을 구성하는 동안 오류가 발생하는 시나리오에서 나타납니다. 이러한 오류가 발생하면 nft_immediate_deactivate() 함수에서 즉시 표현식을 비활성화하면 체인의 의도하지 않은 바인딩이 해제되어 이후에 활용되는 객체가 비활성화될 수 있습니다.
CVE-2023-4147
리눅스 커널의 넷필터 기능에서 NFTA_RULE_CHAIN_ID를 가진 규칙을 추가할 때 사용할 수 없는 취약점이 발견되었습니다. 공격자는 이 취약점을 사용하여 시스템을 충돌시키거나 권한을 상승시킬 수 있습니다.
CVE-2023-3610
리눅스 커널의 넷필터 구성 요소, 특히 nf_tables에서 로컬 권한 상승을 달성하는 데 악용될 수 있는 사용 후 자유 취약점이 발견되었습니다. 이 취약점은 바인딩된 체인의 오류 처리 메커니즘에 뿌리를 두고 있으며, NFT_MSG_NEWRULE의 중단 경로에서 사용 후 무효화 상황을 초래할 수 있습니다. 이 취약점을 트리거하려면 CAP_NET_ADMIN 권한이 필요하다는 점에 유의해야 합니다.
CVE-2023-3390
리눅스 커널의 넷필터 하위 시스템, 특히 net/netfilter/nf_tables_api.c 파일에서 사용 후 사용 가능 취약점이 발견되었습니다. 이 취약점은 NFT_MSG_NEWRULE과 관련된 부적절한 오류 처리로 인해 발생하며, 동일한 트랜잭션 내에서 매달린 포인터를 악용할 수 있어 사용 후 사용 가능 상황을 초래할 수 있습니다. 이 결함은 사용자 수준의 액세스 권한을 가진 로컬 공격자가 악용할 수 있으며, 잠재적으로 권한 상승 문제를 일으킬 수 있습니다.
넷필터 취약점 완화를 위한 실시간 패치 적용
잠재적인 서비스 거부 공격과 민감한 정보 유출로부터 시스템을 보호하려면 넷필터 취약점을 해결하는 것이 가장 중요합니다. 자동화된 패치 배포 프로세스를 간소화하는 실행 가능한 솔루션은 KernelCare Enterprise입니다. 이 도구를 사용하면 시스템을 재시작하거나 진행 중인 작업을 중단할 필요 없이 보안 패치를 적용할 수 있습니다. 또한 패치를 사용할 수 있게 되는 즉시 즉시 배포할 수 있습니다.
KernelCare Enterprise는 Debian, RHEL, Ubuntu, CentOS, AlmaLinux, CloudLinux 등 널리 사용되는 다양한 엔터프라이즈 Linux 배포판에서 라이브 패치를 지원합니다.
라이브 패치가 어떻게 작동하는지에 대한 포괄적인 이해를 위해 전문가와의 대화를 예약할 수도 있습니다.
이 글의 출처에는 NIST의 이야기가 포함되어 있습니다.