기술 지원
문서
로그인
문의하기
KernelCare Enterprise에서 해결한 새로운 OpenSSL 취약점
조아오 코레이아
2023년 2월 22일 - 기술 에반젤리스트
최근에 발견된 OpenSSL 취약점에 대한 패치는 이미 TuxCare의 KernelCare Enterprise를 통해 제공되고 있으며, 일부 배포판의 경우 공급업체가 제공하는 업데이트가 제공되기 전에 이미 릴리스되었습니다. 각 취약점에 대해 자세히 알아보려면 계속 읽어보세요.
KernelCare Enterprise를 사용하면 Linux Kernel에 대한 보안 라이브 패치를 받을 수 있으며, LibCare 구성 요소를 통해 glibc 및 OpenSSL과 같은 중요한 시스템 라이브러리에 대한 라이브 패치도 받을 수 있습니다.
이 두 가지 모두 위협 행위자의 매력적인 공격 대상이지만, 라이브 패치 접근 방식을 사용하지 않는 경우 패치를 완료하려면 시스템을 추가로 재시작하거나 최소한 서비스를 재시작해야 하므로 패치를 적용하는 데 매우 혼란스러운 구성 요소이기도 합니다.
암호화된 통신, 인증서 및 기타 다양한 암호화 작업을 안전하게 수행하기 위해 OpenSSL에 의존하는 경우 새로운 취약점이 나타날 수 있다는 우려가 항상 존재합니다. 과거에도 여러 번 그랬듯이 과거에도 여러 번에도 그랬듯이, KernelCare 팀은 이러한 상황에서 최신 업데이트를 제공하기 위해 끊임없이 노력하고 있습니다.
자문
2월 7일, OpenSSL 팀은 다음과 같은 정보를 공개했습니다. 네 가지 새로운 취약점 4가지 새로운 취약점(CVE-2023-0286, CVE-2023-0215, CVE-2022-4304, CVE-2023-4450)에 대한 정보를 공개했습니다. 위험도는 보통에서 높음까지 다양합니다. 이 OpenSSL 브랜치는 엔터프라이즈 Linux 배포에 가장 널리 배포되어 있습니다.
이러한 취약점을 해결하기 위한 라이브 패치는 CentOS7/Oracle EL7/Cloud Linux 7/RHEL7, CentOS8/Oracle EL8/Cloud Linux 8/RHEL 8/RockyLinux 8/AlmaLinux 8, Amazon2, Debian10, Ubuntu-Bionic 및 Ubuntu-Focal을 실행하는 KernelCare Enterprise 사용자에게 이미 제공되고 있습니다. 지원되는 추가 시스템에 대한 패치는 곧 출시될 예정이며, 해당 패치가 출시되면 이 문서가 업데이트됩니다.
패치는 일부 Linux 배포판의 정기 업데이트보다 먼저 릴리스되므로 시스템 중단이 없을 뿐만 아니라 기존 공급업체가 제공하는 업데이트보다 더 빠르게 시스템을 보호할 수 있습니다. Linux 배포 공급업체는 사용자에게 업데이트된 패키지를 릴리스하는 데 바람직한 시간보다 오래 걸리는 경우가 있습니다.
RHEL 7(및 그 파생 제품)과 같은 다른 배포판은 영향을 받지만 공급업체의 "지원 범위 외"에 속하므로 공급업체 패치를 전혀 받지 못합니다. "지원 범위를 벗어남."
개발팀이 업스트림 OpenSSL 코드에서 직접 수정된 코드를 백포트했기 때문에 TuxCare의 LibCare를 통해 해당 업데이트를 계속 받으실 수 있습니다.
취약점 자세히 살펴보기
위에서 언급했듯이 OpenSSL은 인증서 서명, 구문 분석 및 유효성 검사를 포함하여 암호화와 관련된 많은 작업을 수행할 수 있는 기능을 지원합니다. 특정 유형의 값( X.400 주소)로 인증서를 만들면 X.509 일반 이름)으로 인증서를 조작하면 공격자는 애플리케이션이 특정 메모리 내용을 읽도록 강제할 수 있습니다. 그 결과 정보 유출 또는 서비스 거부(애플리케이션 충돌)로 이어질 수 있습니다.
익스플로잇에 성공한 결과는 위험하지만, '야생에서' 활발하게 사용된다는 징후는 없으며, 공격을 설정하려면 복잡한 단계와 애플리케이션 측의 특정 사용법이 필요합니다.
OpenSSL은 코드 수준에서 애플리케이션에 스트림과 유사한 기능을 제공하며, "BIO." 이는 C의 "파일 *"과 개념이 유사하며, 개발자는 때때로 이해하기 어려운 기본 암호화 기능을 OpenSSL 내부에 숨겨서 투명한 방식으로 암호화 기능에 의존할 수 있습니다.
"BIO_new_NDEF"는 스트리밍에 사용되는 도우미 함수입니다. ASN.1 데이터를 스트리밍하는 데 사용되는 도우미 함수입니다. 서로 다른 "BIO" 함수가 서로 연결되어 높은 수준의 기능(예: 수신->암호 해독->복사->암호화)을 제공할 수 있는 방식은 "BIO_new_NDEF"에서 NULL 결과를 트리거하고 예기치 않게 체인을 끊음으로써 악용될 수 있습니다. 이 시나리오에서는 유즈 애프터 프리가 발생하고 애플리케이션이 충돌하거나 정의되지 않은 상태로 남아있을 수 있습니다(또는 더 나쁜 경우).
OpenSSL의 많은 공개용 함수는 내부적으로 영향을 받는 함수를 호출하므로, 공격 표면은 하나의 손상된 함수보다 훨씬 더 큽니다.
사이드 채널 공격은 공격받는 코드와 반드시 관련이 없는 관찰 가능한 동작에 의존하지만, 특정 작업을 실행하는 데 더 많은 시간이 걸리거나 더 적은 메모리를 사용하거나 특정 환경의 특정 설정과 같은 특성을 통해 숨겨진 정보를 유추할 수 있습니다.
복호화를 위해 대량의 메시지를 전송하고 해당 메시지를 처리하는 데 걸리는 시간을 측정하여 원격으로 일반 텍스트 정보를 복구하는 것이 가능하다는 사실이 발견되었습니다. RSA 암호화를 사용하는 TLS 연결 핸드셰이크에 사용된 소수값을 유추할 수 있습니다(OpenSSL 공개에서는 이를 '블리첸바허 공격'과 비교하고 있습니다).
2020년 7월에 잠재적인 타이밍 사이드 채널 기회에 대한 초기 정보가 제공되었으며, 이제야 문제가 좁혀지고 해결되었다는 점은 주목할 만합니다.
악의적인 공격자가 특정 코드를 악용하여 예기치 않은 결과를 초래하는 정교한 입력을 만들 수 있기 때문에 모든 종류의 사용자 제어 입력을 처리하는 것은 애플리케이션에 항상 위험합니다. OpenSSL의 인증서 처리 부분에서도 페이로드 데이터가 0바이트인 특수하게 조작된 PEM 인코딩 인증서는 사용 후 무료 버그를 유발하여 애플리케이션 충돌(및 그에 따른 서비스 거부)을 일으킬 수 있습니다.
이러한 유형의 검사는 애플리케이션 및 서비스에서 매우 일반적이며, OpenSSL에서 제공하는 명령줄 유틸리티에서도 직접 수행됩니다.
더 빠르고 안정적으로 시스템 보안 유지
KernelCare Enterprise는 LibCare를 통해 유지보수 기간을 기다리는 등의 지연이 너무 길어 감당하기 어려운 중요한 상황에서 시스템 보안을 유지하는 데 필요한 업데이트를 제공합니다. 일반적으로 특정 배포판의 수정 사항을 사용하는 것을 선호하지만, 해당 배포판의 반응 속도가 느린 경우에도 고객에게 수정 사항을 제공합니다.
KernelCare Enterprise를 사용하면 최신 위협을 추적하고 적절한 방어 기능을 제공하여 보안 및 규정 준수 태세를 강화하는 동시에 중단 없이 비즈니스 가용성을 유지할 수 있습니다.
