새로운 Linux 익스플로잇 '더티 크레드' 공개

박사 과정 학생인 젠펑 린과 다른 연구원들이 더티 크레드라는 새로운 Linux Kernel 익스플로잇을 발견했습니다. CVE-2022-2588로 추적된 이 결함은 지난주 Black Hat 보안 컨퍼런스에서 공개되었습니다.

더티 크레드는 Linux Kernel에서 발견된 net/sched/cls_route.c 필터 구현의 route4_change에서 사용 후 무료 버그입니다. 이 버그로 인해 로컬 권한 공격자가 시스템을 충돌시켜 로컬 권한 상승 문제를 일으킬 수 있습니다.

이 익스플로잇을 탐지하기 위해 린은 Linux Kernel 버전 8 이상을 대상으로 하는 '더티 파이프' 취약점에 대한 대안적인 접근 방식을 연구했습니다.

린의 팀은 더티 파이프와 새로운 더티 크레드에 취약한 시스템에서 Linux Kernel 데이터를 교환할 수 있는 방법을 찾아낼 수 있었습니다.

연구진의 일반적인 접근 방식은 더티 파이프와 안드로이드가 아닌 컨테이너에도 적용될 수 있으며, 궁극적으로 "다양한 버그가 더티 파이프처럼 될 수 있도록" 합니다.

이 취약점을 익스플로잇하는 접근 방식은 유사한 익스플로잇 코드를 사용하여 Centos 8 및 Ubuntu와 같은 서로 다른 두 시스템에서 낮은 권한의 사용자를 상승시키는 데 사용할 수 있습니다.

권한이 있는 자격 증명이 권한이 없는 자격 증명과 분리되어 있지 않기 때문에 공격자는 이를 교환하려고 시도할 수 있습니다. 더티 크레드의 경우, 사용 중인 비권한 자격 증명을 해제하여 해제된 메모리 슬롯에 권한 공간을 할당함으로써 권한 상승을 보장하도록 데이터를 수정할 수 있습니다. 이를 통해 공격자는 권한 있는 사용자로 활동할 수 있습니다.

더티 크레딧 공격으로부터 시스템을 보호하기 위해 연구자들은 권한이 있는 자격 증명과 권한이 없는 자격 증명을 분리하고 가상 메모리를 사용하여 크로스 캐시 공격을 방지할 것을 권장합니다. 또한 vmalloc을 사용하여 작업 크레딧을 격리하는 패치가 이미 GitHub에서 제공되고 있습니다.

이 글의 출처는 esecuritypanel의 기사입니다.