'블리딩투스'를 위한 재부팅 없는 패치 출시 예정

구글 보안 연구원들은 최근 Linux Kernel의 블루투스 구현이 A2MP CID가 있는 L2CAP 패킷을 처리하는 방식에서 결함을 발견했습니다. 범위 내에 있는 원격 공격자는 이 결함을 사용하여 특수하게 조작된 L2CAP 패킷을 전송함으로써 표적 시스템을 충돌시켜 서비스 거부를 유발하거나 시스템에서 임의의 코드를 실행할 수 있습니다. 모든 Linux 배포판이 영향을 받지만, 블루투스를 통해 인프라에 연결된 디바이스가 있는 경우에만 익스플로잇이 가능합니다.

데이터 센터 고객은 공격자가 표적 시스템의 범위 내에 있어야 하는데 블루투스 취약점이 왜 중요한 문제인지 의문을 가질 수 있지만, '블리딩투스'에 취약한 감시 카메라, 스마트 TV, 무선 프린터 및 기타 엔드포인트가 있을 가능성이 높습니다. 인텔은 공급업체 업데이트로 서버를 패치할 것을 제안하지만, 이 방법은 서버를 재부팅해야 합니다. KernelCare는 서버 재부팅이 필요 없는 '블리딩투스' 보안 패치를 출시하여, 서비스 중단이나 SLA에 영향을 주지 않고 짧은 취약점 기간 내에 IoT 디바이스를 포함한 중요 인프라를 패치할 수 있도록 지원합니다.

'블리딩투스'란 무엇인가요?

'블리딩투스'는 하나의 CVE가 아니라 여러 개의 CVE, 즉 CVE-2020-12351, CVE-2020-12352, CVE-2020-24490에 의해 추적됩니다. 이 세 가지 중 심각도 점수가 8.3으로 가장 높은 것은 CVE-2020-12351입니다. 최근에 발견된 취약점이기 때문에 현재까지 알려진 바가 거의 없고 예약된 CVE도 자세히 설명되어 있지 않지만, 인텔과 Linux 공급업체에서 즉시 패치를 적용할 것을 제안할 만큼 중요한 취약점입니다. 모든 Linux 배포판이 영향을 받으므로 패치되지 않은 버전을 실행하는 모든 디바이스나 서버가 취약합니다.

공격자는 블루투스 통신에 사용되는 악의적으로 조작된 L2CAP 패킷을 사용하여 서비스 거부(DoS)를 유발하거나 대상 시스템에서 코드를 실행할 수 있습니다. 인텔은 이 익스플로잇이 권한 상승으로 이어질 수 있다고 경고하고 있습니다. 공격자는 각 Bluetooth 장치에 할당된 48비트 식별자인 BD 주소(BD_ADDR)를 알고 있어야 합니다. 개념 증명 익스플로잇 코드는 Github에서 확인할 수 있습니다.

CVE-2020-12352에서 Google 연구원들은 메모리 레이아웃을 예측하여 KASLR(Kernel 주소 공간 레이아웃 무작위화)을 무력화함으로써 암호화 키 및 기타 민감한 데이터를 얻을 수 있다고 지적했습니다. 이 문제를 입증하기 위해 개념 증명도 제공되었습니다.

Bluetooth 5 칩을 사용하는 장치만 취약하지만 공격자는 악성 칩을 사용하여 이 취약점을 악용할 수 있습니다. BlueZ는 해당 취약점의 원인이 되는 프로토콜 라이브러리로, 개발자가 세 가지 CVE에 대한 패치를 발표했거나 사용자가 Linux Kernel 버전을 5.9로 업데이트할 수 있습니다. 5.9 이전 버전은 모두 취약합니다.

사용 가능한 완화 기술이 있나요?

개인 Linux 기반 디바이스에서 Bluetooth를 실행하는 개인은 현재로서는 이 기능을 비활성화할 수 있지만, 기업용 디바이스에서는 실행 가능한 옵션이 아닙니다. Bluetooth를 비활성화하는 것 외에는 필요한 보안 패치를 즉시 적용하는 것 외에 이 문제를 완화할 수 있는 다른 방법이 없습니다. 하지만 공급업체에서 배포한 패치를 적용하려면 서버를 재부팅해야 합니다. 엔터프라이즈 서버를 무분별하게 재부팅할 수 없으므로 관리자는 긴급 유지 보수를 수행하거나 예정된 변경을 기다려야 합니다. 보안 패치를 적용하기 위해 기다리면 서버가 익스플로잇에 취약해져 기업이 위험에 처하게 됩니다. 곧 출시될 KernelCare의 패치는 재부팅이 필요하지 않으며, 모든 KernelCare 고객은 '블리딩투스'를 해결하는 데 필요한 보안 업데이트를 받게 됩니다.

7일 지원되는 KernelCare 무료 체험판 받기 

결론

이 취약점은 엔터프라이즈 클라이언트에게는 중요하지 않아 보일 수 있지만, 대규모 네트워크 환경에서는 수많은 섀도 엔드포인트를 사용할 수 있기 때문에 Linux 패치가 더욱 중요합니다. 보안 연구원들의 발표에 따르면 Linux Kernel 업데이트가 유일한 옵션이며, 이 경우 재부팅 및 서비스 중단이 필요합니다. KernelCare의 실시간 패치 서비스는 재부팅이 필요 없는 필수 보안 패치를 배포합니다. 다음 주 초에 재부팅 없이 업데이트를 받을 수 있는 KernelCare+ 7일 평가판에 등록할 수 있습니다. 패치 적용 시기를 바로 확인하려면 트위터와 페이스북 계정에서 이 블로그 게시물을 모니터링하세요.